机器狗简介:该病毒为一个木马下载器,病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡,可通过以下几方面查看是否已中毒.
激发病毒后会在SYSTEM32下修改userinit.exe ,可通过查看版本信息看出,查看DRVERS目录下产生pcihdd.sys驱动文件,会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项,并在windows目录会产生以上相应文件,机器重启后以上设置都会真实保存.
机器狗防御:一、驱动内核层防御:( 从原理上防御 )
.. 针对机器狗病毒对网吧业带来的巨大影响,强者公司经过日夜奋战,终于反编译了该木马大部分代码,提供机器狗病毒的终级解决方案,本着对用户负责的态度,现维护系统免费加入“驱动内核级”机器狗病毒防御,彻底杜绝机器狗病毒包括其变种的破坏.
关键它是完全免费的.
二、禁止文件访问法:( 初级防御)
1.下载 "机器狗病毒防御补丁点击下载" , 把UnCracker.exe和UnCracker.ini两个文件放在服务端的一个共享目录下,(如:\\qzse\netgame1),并保证在客户机可以正常访问这个路径;
2.打开服务端主控制器在随意哪台客户机上点右键-à运行工作站命令,加上如下图中所设置的工作站每次启动运行列表:
3.编辑UnCracker.ini文件,如下所述:
[system]
1=c:\windows\hh.exe
2=…
[nosystem]
1=C:\WINDOWS\system32\drivers\pcihdd.sys(可防机器狗病毒)
2=d:\command.com
3=d:\Iexplores.exe
以上内容可以根据用户需求自由添加,如防止arp运行时可在配置中加入"c:\windows\system32\drivers\npf.sys","c:\windows\system32\packet.dll",
"c:\windows\system32\pthreadVC.dll","c:\windows\system32\wpcap.dll".
顺便说一句,这个病毒从技术上来说,可以大胆的猜测应该是还原业内人士开发研制的,这种技术的应用极为少见,且如果精通这种技术的高手要做病毒不会用这种hook系统的磁盘设备栈的方式,完全可以有更强更好的方式达到彻底毁灭还原行业的方法;所以这个病毒应该是针对现在99%还原产品做的病毒,以达到不可告人的目标;在此我们强烈谴责那些毫无技术道德的卑鄙团队和个人,给还原和网吧行业带来极大的灾难和痛苦,真心希望以后不要再发生这样类似的事情了。
很遗憾的告诉大家,目前已知的还原软件和还原卡包括我们的还原也无法抵抗这种还原的穿透。我们已经测试过冰点全系列,还原精灵。各类还原卡,以及其他网吧行业软件自带的还原,都无法防止这种病毒的感染。根据我们对这个病毒源码的分析来看,网吧可能即将面临病毒、盗号的高峰;恐怕目前大家最好做好最坏的思想准备吧,不要报任何侥幸心理,目前我们没有发现任何还原产品或者技术可以对付这个病毒。准备迎接网吧的恶梦到来,同时希望大家能在这个专贴发表自己的感想和解决方法,希望能集思广益一起解决这个垃圾病毒。
紧急红色预警机器狗病毒
中毒症状:就是打开我的电脑,或者打开IE,在只开一个窗口的情况下,把打开的窗口关闭,桌面进程就会重启
经过对样本的分析和测试,DF6.0、DF6.1、DF6.2及以前版本三茗,小哨兵还原卡均被成功穿透,这是一个木马下载器,下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺,并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:一是封IP 58.221.254.103,二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys
这病毒成功能成功穿透冰点,还原精灵,小哨兵等主流还原软件还原卡,危害极大
这是一个木马下载器,下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺,并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案:一是封IP,二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys
目前对应无盘的网吧还没有攻击能力
