什么是機器狗?
機器狗的生前身后,曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終于有人在社區里貼出了一個樣本。這個病毒沒有名字,圖標是SONY的機器狗阿寶,就像前輩熊貓燒香一樣,大家給它起了個名字叫機器狗。
工作原理
機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬盤驅動,提高自己的優先級接替還原卡或冰點的硬盤驅動,然后訪問指定的網址,這些網址只要連接就會自動下載大量的病毒與惡意插件。然后修改接管啟動管理器,最可怕的是,會通過內部網絡傳播,一臺中招,能引發整個網絡的電腦全部自動重啟。
重點是,一個病毒,如果以hook方式入侵系統,接替硬盤驅動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術應用范圍非常小,只有還原技術廠商范圍內有傳播,在這方面國際上也只有中國在用,所以,很可能就是行業內杠。
對于網吧而言,機器狗就是劍指網吧而來,針對所有的還原產品設計,可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現,發稿之日起,各大殺毒軟件都以能查殺。
免疫補丁之爭
現在的免疫補丁之數是疫苗形式,以無害的樣本復制到drivers下,欺騙病毒以為本身以運行,起到阻止危害的目的。這種形式的問題是,有些用戶為了自身安全會在機器上運行一些查毒程序(比如QQ醫生之類)。這樣疫苗就會被誤認為是病毒,又要廢很多口舌。
解決之道
最新的解決方案是將system32/drivers目錄單獨分配給一個用戶,而不賦予administror修改的權限。雖然這樣能解決,但以后安裝驅動就是一件頭疼的事了。
來徹底清除該病毒,處理后重啟一下電腦就可以了,之前要打上補丁!
或者這樣:
1注冊表,組策略中禁止運行userinit.exe 進程
2 在啟動項目中加入批處理
A : 強制結束userinit.exe進程 Taskkill /f /IM userinit.exe (其中“/IM”參數后面為進程的圖像名,這命令只對XP用戶有效)
B : 強制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe
C : 創建userinit.exe免疫文件到%SystemRoot%\system32\
命令:md %SystemRoot%\system32\userinit.exe >nul 2>nul
或者 md %SystemRoot%\system32\userinit.exe
attrib +s +r +h +a %SystemRoot%\system32\userinit.exe
D : reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe” /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一個1,你也可以自己修改,不過要手動修改這4個注冊表,并導出,這個批處理才能正常使用。
最新動向
好像機器狗的開發以停止了,從樣本放出到現在也沒有新的版本被發現,這到讓我們非常擔心,因為雖著研究的深入,現在防御的手段都是針對病毒工作原理的,一但機器狗開始更新,稍加改變工作原理就能大面積逃脫普遍的防御手段,看來機器狗的爆發只是在等待,而不是大家可以高枕了。
目前網上流傳一種叫做機器狗的病毒,此病毒采用hook系統的磁盤設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟件硬件還原!基本無法靠還原抵擋。目前已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。
機器狗是一個木馬下載器,感染后會自動從網絡上下載木馬、病毒,危及用戶帳號的安全。
機器狗運行后會釋放一個名為PCIHDD.SYS的驅動文件,與原系統中還原軟件驅動進行硬盤控制權的爭奪,并通過替換userinit.exe文件,實現開機啟動。
>> 那么如何識別是否已中毒呢?
是否中了機器狗的關鍵就在 Userinit.exe 文件,該文件在系統目錄的 system32 文件夾中,點擊右鍵查看屬性,如果在屬性窗口中看不到該文件的版本標簽的話,說明已經中了機器狗。如果有版本標簽則正常。
臨時解決辦法:
一是在路由上封IP:
ROS腳本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment=”DF6.0″
add chain=forward content=www.tomwg.com action=reject
二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys ,
三是把他要修改的文件在做母盤的時候,就加殼并替換。
在%systemroot%\system32\drivers\目錄下 建立個 明字 為 pcihdd.sys 的文件夾 設置屬性為 任何人禁止
批處理
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
exit
目前,網絡流行以下解決方法,或者可以在緊急情況下救急:
1、首先在系統system32下復制個無毒的userinit.exe,文件名為FUCKIGM.exe(文件名可以任意取),這就是下面批處理要指向執行的文件!也就是開機啟動userinit.exe的替代品!而原來的userinit.exe保留!其實多復制份的目的只是為了多重保險!可能對防止以后變種起到一定的作用。
2、創建個文件名為userinit.bat的批處理(文件名也可任意取,但要和下面說到的注冊表鍵值保持一致即可),內容如下:
start FUCKIGM.exe (呵呵,夠簡單吧?)
3、修改注冊表鍵值,將userinit.exe改為userinit.bat。內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Userinit”=”C:\\WINDOWS\\system32\\userinit.bat,”
就這3步,讓這條狗再也兇不起來!這是在windows 2003測試的,雙擊機器狗后,沒什么反應,對比批處理也是正常,即這狗根本沒改動它!開關機游戲均無異常!但唯一美中不足的是,采用經典模式開機的啟動時會出現個一閃而過的黑框!
如果嫌麻煩,也不要緊。上面三條批處理網友已搞好了,直接復制下面的這個存為批處理執行就OK了。三步合二為一
@echo off
:::直接復制系統system32下的無毒userinit.exe為FUCKIGM.exe
cd /d %SystemRoot%\system32
copy /y userinit.exe FUCKIGM.exe >nul
:::創建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注冊表操作
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v Userinit / t REG_SZ /d “C:\WINDOWS\system32\userinit.bat,” /f >nul
:::刪掉自身(提倡環保)
del /f /q %0
當然,如果實在不行,下載程序killigm。然后直接解壓運行里面的程序:機器狗免疫補丁.bat 執行就可以了.
網上流傳的另一種新的變種的防止方法 :
開始菜單運行.輸入CMD
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1…\
可防止最新變種。請注意:此法只能是防止,對于殺機器狗還得靠最新的殺毒程序才行。
針對該病毒,反病毒專家建議廣大用戶及時升級殺毒軟件病毒庫,補齊系統漏洞,上網時確保打開“網頁監控”、“郵件監控”功能;禁用系統的自動播放功能,防止病毒從U盤、MP3、移動硬盤等移動存儲設備進入到計算機;登錄網游賬號、網絡銀行賬戶時采用軟鍵盤輸入賬號及密碼。
機器狗是什么?
機器狗的生前身后,曾經有很多人說有穿透還原卡、冰點的病毒,但是在各個論壇都沒有樣本證據,直到2007年8月29日終于有人在社區里貼出了一個樣本。這個病毒沒有名字,圖標是SONY的機器狗阿寶,就像前輩熊貓燒香一樣,大家給它起了個名字叫機器狗。
工作原理
機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬盤驅動,提高自己的優先級接替還原卡或冰點的硬盤驅動,然后訪問指定的網址,這些網址只要連接就會自動下載大量的病毒與惡意插件。然后修改接管啟動管理器,最可怕的是,會通過內部網絡傳播,一臺中招,能引發整個網絡的電腦全部自動重啟。
重點是,一個病毒,如果以hook方式入侵系統,接替硬盤驅動的方式效率太低了,而且毀壞還原的方式這也不是最好的,還有就是這種技術應用范圍非常小,只有還原技術廠商范圍內有傳播,在這方面國際上也只有中國在用,所以,很可能就是行業內杠。
對于網吧而言,機器狗就是劍指網吧而來,針對所有的還原產品設計,可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現,發稿之日起,各大殺毒軟件都以能查殺。
免疫補丁之爭
現在的免疫補丁之數是疫苗形式,以無害的樣本復制到drivers下,欺騙病毒以為本身已運行,起到阻止危害的目的。這種形式的問題是,有些用戶為了自身安全會在機器上運行一些查毒程序(比如QQ醫生之類)。這樣疫苗就會被誤認為是病毒,又要廢很多口舌。
解決之道
最新的解決方案是將system32/drivers目錄單獨分配給一個用戶,而不賦予administror修改的權限。雖然這樣能解決,但以后安裝驅動就是一件頭疼的事了。
來徹底清除該病毒,處理后重啟一下電腦就可以了,之前要打上補丁!
或者這樣:
1注冊表,組策略中禁止運行userinit.exe 進程
2 在啟動項目中加入批處理
A : 強制結束userinit.exe進程 Taskkill /f /IM userinit.exe (其中“/IM”參數后面為進程的圖像名,這命令只對XP用戶有效)
B : 強制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe
C : 創建userinit.exe免疫文件到%SystemRoot%\system32\
命令:md %SystemRoot%\system32\userinit.exe >nul 2>nul
或者 md %SystemRoot%\system32\userinit.exe
attrib +s +r +h +a %SystemRoot%\system32\userinit.exe
D : reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe” /v debugger /t reg_sz /d debugfile.exe /f
userinit1.exe是正常文件改了名字,多加了一個1,你也可以自己修改,不過要手動修改這4個注冊表,并導出,這個批處理才能正常使用。
最新動向
好像機器狗的開發以停止了,從樣本放出到現在也沒有新的版本被發現,這到讓我們非常擔心,因為雖著研究的深入,現在防御的手段都是針對病毒工作原理的,一但機器狗開始更新,稍加改變工作原理就能大面積逃脫普遍的防御手段,看來機器狗的爆發只是在等待,而不是大家可以高枕了。
目前網上流傳一種叫做機器狗的病毒,此病毒采用hook系統的磁盤設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟件硬件還原!基本無法靠還原抵擋。目前已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。
機器狗是一個木馬下載器,感染后會自動從網絡上下載木馬、病毒,危及用戶帳號的安全。
機器狗運行后會釋放一個名為PCIHDD.SYS的驅動文件,與原系統中還原軟件驅動進行硬盤控制權的爭奪,并通過替換userinit.exe文件,實現開機啟動。
>> 那么如何識別是否已中毒呢?
是否中了機器狗的關鍵就在 Userinit.exe 文件,該文件在系統目錄的 system32 文件夾中,點擊右鍵查看屬性,如果在屬性窗口中看不到該文件的版本標簽的話,說明已經中了機器狗。如果有版本標簽則正常。
臨時解決辦法:
一是在路由上封IP:
ROS腳本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net action=reject comment=”DF6.0″
add chain=forward content= www.tomwg.com action=reject
二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys ,
三是把他要修改的文件在做母盤的時候,就加殼并替換。
在%systemroot%\system32\drivers\目錄下建立一個名為“pcihdd.sys ”的文件夾,設置屬性為“任何人禁止”
批處理
1、md %systemroot%\system32\drivers\pcihdd.sys
2、cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
3、cacls %systemroot%\system32\userinit.exe /e /p everyone:r
4、exit
目前,網絡流行以下解決方法,或者可以在緊急情況下救急:
1、首先在系統system32下復制個無毒的userinit.exe,文件名為FUCKIGM.exe(文件名可以任意取),這就是下面批處理要指向執行的文件!也就是開機啟動userinit.exe的替代品!而原來的userinit.exe保留!其實多復制份的目的只是為了多重保險!可能對防止以后變種起到一定的作用。
2、創建個文件名為userinit.bat的批處理(文件名也可任意取,但要和下面說到的注冊表鍵值保持一致即可),內容如下:
start FUCKIGM.exe (呵呵,夠簡單吧?)
3、修改注冊表鍵值,將userinit.exe改為userinit.bat。內容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Userinit”=”C:\WINDOWS\system32\userinit.bat,”
就這3步,讓這條狗再也兇不起來!這是在windows 2003測試的,雙擊機器狗后,沒什么反應,對比批處理也是正常,即這狗根本沒改動它!開關機游戲均無異常!但唯一美中不足的是,采用經典模式開機的啟動時會出現個一閃而過的黑框!
如果嫌麻煩,也不要緊。上面三條批處理網友已搞好了,直接復制下面的這個存為批處理執行就OK了。三步合二為一
@echo off
:::直接復制系統system32下的無毒userinit.exe為FUCKIGM.exe
cd /d %SystemRoot%\system32
copy /y userinit.exe FUCKIGM.exe >nul
:::創建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注冊表操作
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v Userinit / t REG_SZ /d “C:\WINDOWS\system32\userinit.bat,” /f >nul
:::刪掉自身(提倡環保)
del /f /q %0
當然,如果實在不行,下載程序killigm。然后直接解壓運行里面的程序:機器狗免疫補丁.bat 執行就可以了.
網上流傳的另一種新的變種的防止方法 :
開始菜單運行.輸入CMD
cd ……到drivers
md pcihdd.sys
cd pcihdd.sys
md 1…\
可防止最新變種。請注意:此法只能是防止,對于殺機器狗還得靠最新的殺毒程序才行。
針對該病毒,反病毒專家建議廣大用戶及時升級殺毒軟件病毒庫,補齊系統漏洞,上網時確保打開“網頁監控”、“郵件監控”功能;禁用系統的自動播放功能,防止病毒從U盤、MP3、移動硬盤等移動存儲設備進入到計算機;登錄網游賬號、網絡銀行賬戶時采用軟鍵盤輸入賬號及密碼
什麼是機器狗?
【CCEO5.CN】專家回答:機器狗最主要能破壞還原軟件,然后下載木馬程序,網吧遭殃的很厲害,現在360有機器狗免疫補丁,建議裝下!
關于什么是機器狗?
日前,一種可以穿透各種還原軟件與硬件還原卡的機器狗病毒異常肆虐.此病毒通過pcihdd.sys驅動文件搶占還原軟件的硬盤控制權.并修改用戶初始化文件userinit.exe來實現隱藏自身的目的.此病毒為一個典型的網絡架構木馬型病毒,病毒穿透還原軟件后將自己保存在系統中,定期從指定的網站下載各種木馬程序來截取用戶的帳號信息
機器狗是什么
日前,一種可以穿透還原軟件與硬件還原卡的機器狗病毒異常肆虐。此病毒通過pcihdd.sys驅動文件搶占還原軟件的硬盤控制權。并修改用戶初始化文件userinit.exe來實現隱藏自身的目的。此病毒為一個典型的網絡架構木馬型病毒,病毒穿透還原軟件后將自己保存在系統中,定期從指定的網站下載各種木馬程序來截取用戶的帳號信息。
大家都知道,黑客行為的背后,隱藏著巨大的經濟利益,時下網上交易比較看好的是“肉雞”業務。所謂肉雞,就是黑客們借殼一些免費電影網站,植入惡意軟件,一旦有網民瀏覽該網頁,木馬病毒就秘密潛入,將網民電腦控制,黑客們就可以如同使用自己的計算機一樣,去瀏覽網民的電腦,竊取他們的QQ號、游戲裝備等。
而網吧、學校機房里的公用電腦大多安裝了還原軟件或還原卡,木馬病毒就無法種植到網民的電腦,此次爆發的機器狗病毒不同之處在于,可以穿透還原卡對電腦系統的保護,搶占還原卡對硬盤的控制權,從而達到竊取帳號和游戲裝備的目的。
機器狗病毒爆發后,眾多還原卡廠家措手不及,網絡論壇不斷有網管和網民抱怨遭到機器狗病毒攻擊,包括小哨兵、三茗等還原卡以及使用較普遍的冰點還原軟件都未幸免。記者采訪了中科藍光公司的開發人員,據介紹,機器狗病毒非常容易取得對硬盤的控制權,如還原卡沒有對IDE通道這方面保護過,那么一些程序很容易通過IDE通道的保護漏洞進行功擊,搶奪硬盤控制權,因此還原卡也被成功繞過。中科藍光公司由于采用了先進的IDE通道硬盤保護技術,拒絕其它程序搶占訪問,所以本次病毒爆發沒有對藍光硬盤保護卡起到破壞作用。
機器狗是什么呀?
一種很強悍的木馬!
誰知道機器狗是什么?
大眾科學》8日報道,波士頓動力公司在美國軍方的支持下研制出一種機器狗,無論是窮鄉僻壤,還是戰火紛飛的城市碎石遍地的小巷,這種機器狗都可以忠心耿耿地跟隨戰士們去執行任務。
這種名叫“大狗”的機器狗可不只會把飛盤叼回來,它可以替士兵們背負著幾百磅重的工具,即使在火海中跑來跑去也毫不畏懼。據稱,“大狗”是目前世界上最雄心勃勃的四腳
機器人,其穩定性以及方向方位感令人驚嘆,可以處理戰場上許多未知的挑戰。
原型“大狗”的身材類似于大丹犬,每小時可以跑3英里以上的路程,可以爬45度角的斜坡,在不適于輪式或履帶式車輛前進的地形上,它可以負重120磅急行軍。但“原型狗”只是一條幼犬,波士頓動力公司的研制人員希望今年夏天就會推出的第二代“大狗”的行軍速度和負重至少增加一倍。
“大狗”的身體是一種鋼架結構,里面裝有一個圓筒形汽油
發動機,為“大狗”的水壓系統、電腦和慣性測算單元(IMU)提供動力。慣性測算單元是機器狗的重要組成部分,它使用光纖激光陀螺儀和一組加速器跟蹤機器狗的運動和位置。這些裝置與四條腿一起發揮作用,就可以使“大狗”邁出準確的步伐。
機器狗的腿由鋁制成,每條腿上有三個關節,利用水壓刺激器,電腦每秒可以重新將關節配置500次。關節上裝有傳感器,負責測量力量和位置,電腦參照這些數據,結合從慣性測算單元獲得的信息,確定四條腿應該是抬起還是放下,向右走還是向左走。通過調整關節的水壓液體的流動,電腦可以將每一只爪子準確地放下。
這種機器狗還有視力:它的頭部裝有一個立體攝像頭和一部激光掃描儀。第一代“大狗”并不能依照這兩種儀器前進,但第二代將利用它們識別前方的地形,發現障礙物。現在的“大狗”需要遙控,但未來版的“大狗”將獲得自由身,不需要人來指導,就可以自行作出決定。專家預測,在未來八年內,更加強大的自理能力更強的“大狗”隨時可以在戰場上馳騁
機器狗是啥?
只是外形像狗的一種機械, 可以模仿狗的吃聲,或是做一些動作
機器狗。。。
1:新版本“機器狗”病毒采用VC++ 6.0編寫,老版本“機器狗”病毒采用匯編編寫。
2:新版本“機器狗”病毒采用UPX加殼,老版本“機器狗”病毒采用未知殼。
3:新版本“機器狗”病毒驅動文件很小(1,536 字節),老版本“機器狗”病毒驅動文件很大(6,768 字節)。
4:新版本“機器狗”病毒安裝驅動后沒有執行卸載刪除操作,老版本“機器狗”病毒安裝驅動工作完畢后會卸載刪除。
5:新版本“機器狗”病毒針對的是系統“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件,老版本“機器狗”病毒只針對系統“userinit.exe”文件。
6:新版本“機器狗”病毒沒有對注冊表進行操作,老版本“機器狗”病毒有對注冊表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon”項進行操作(感覺該操作沒必要,因為重新啟動系統后,“還原保護程序”系統會將其還原掉)。
7:新版本“機器狗”病毒去到系統dllcache文件夾下調用真實系統文件運行,老版本“機器狗”病毒沒有到系統dllcache文件夾下調用真實系統文件運行。
8:新版本“機器狗”病毒采用的是控制臺程序圖標,老版本“機器狗”病毒采用的是黑色機器小狗圖案的圖標。
什么是機器狗!
機器狗木馬病毒簡介
中毒癥狀:
如果360無法打開或者打開之后被關閉,系統變的非常慢,系統時間莫名其妙被更改.”我的電腦”的圖標不正確,輸入法無法打開,說明可能中了機器狗。
如果打開C:\WINDOWS\system32文件夾(如果您的系統不在c盤安裝,請找到對應的目錄),找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe文件,點擊右鍵查看屬性,如果在屬性窗口中看不到文件的版本標簽的話,說明已經中了機器狗。
機器狗木馬病毒簡介:
機器狗,是一種病毒下載器,它可以給用戶的電腦下載大量的木馬、病毒、惡意軟件、插件等。一旦中招,用戶的電腦便隨時可能感染任何木馬、病毒,這些木馬病毒會瘋狂地盜用用戶的隱私資料(如帳號密碼、私密文件等),也會破壞操作系統,使用戶的機器無法正常運行,它還可以通過內部網絡傳播、下載U盤病毒和Arp攻擊病毒,能引發整個網絡的電腦全部自動重啟。對于網吧而言,機器狗就是劍指網吧而來,針對所有的還原產品設計,其破壞力可能會很快會超過熊貓燒香。
機器狗工作原理:
機器狗工作原理:機器狗本身會釋放出一個pcihdd.sys到drivers目錄,pcihdd.sys是一個底層硬盤驅動,提高自己的優先級接替還原卡或冰點的硬盤驅動,然后訪問指定的網址,這些網址只要連接就會自動下載大量的病毒與惡意插件。