机器狗病毒简介
中毒症状:就是打开我的电脑,或者打开IE,在只开一个窗口的情况下,把打开的窗口关闭,桌面进程就会重启
经过对样本的分析和测试,DF6.0、DF6.1、DF6.2及以前版本三茗,小哨兵还原卡均被成功穿透,(此病毒对德天信山还原卡无效)这是一个木马下载器,下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺,并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:一是封IP 58.221.254.103,二是在c:windowssystem32drivers下建立免疫文件: pcihdd.sys
木马联网后的下载内容
http://yu.8s7.net/cert.cer
http://www.tomwg.com/mm/mm.jpg
http://www.tomwg.com/mm/wow.jpg
http://www.tomwg.com/mm/mh011.jpg
http://www.tomwg.com/mm/zt.jpg
http://www.tomwg.com/mm/wl.jpg
http://www.tomwg.com/mm/wd.jpg
http://www.tomwg.com/mm/tl.jpg
http://www.tomwg.com/mm/dh3.jpg
http://www.tomwg.com/mm/my.jpg
请将以上IP在路由里屏蔽连接。
病毒样本
explorer.rar
机器狗免疫补丁
机器狗免疫补丁.rar
对机器狗病毒测试结果
测试环境:xpsp2,补丁打到最新,安装冰点6.2单机版,全盘保护。测试开始,打开windowssystem32 找到userinit.exe 文件,进行监视
[
然后运行机器狗:
鼠标闪了一下,再看userinit.exe ,文件没有被修改,这时重启电脑后,没有发现中毒现象。不死心,然后继续运行一遍机器狗,userinit.exe 仍然没有被改,接着连续双击机器狗4-5次这样,“奇迹”出现了:
userinit.exe 的版本号不见了,这时重启电脑后,打开msconfig启动项,惨不忍睹啊:
我大概猜测了下病毒的感染过程,运行后,先是用pcihdd.sys与冰点抢硬盘控制权,但是会有抢不到的时候,也就是没有“穿透”成功。然而多运行几次后,机器狗终于获取了硬盘控制权,然后对userinit.exe 进行改写并“穿透”保存了下来。(下一页)
网友评论