機(jī)器狗是什么？

機(jī)器狗的生前身后，曾經(jīng)有很多人說(shuō)有穿透還原卡、冰點(diǎn)的病毒，但是在各個(gè)論壇都沒(méi)有樣本證據(jù)，直到2007年8月29日終于有人在社區(qū)里貼出了一個(gè)樣本。這個(gè)病毒沒(méi)有名字，圖標(biāo)是SONY的機(jī)器狗阿寶，就像前輩熊貓燒香一樣，大家給它起了個(gè)名字叫機(jī)器狗。

工作原理

機(jī)器狗本身會(huì)釋放出一個(gè)pcihdd.sys到drivers目錄，pcihdd.sys是一個(gè)底層硬盤(pán)驅(qū)動(dòng)，提高自己的優(yōu)先級(jí)接替還原卡或冰點(diǎn)的硬盤(pán)驅(qū)動(dòng)，然后訪問(wèn)指定的網(wǎng)址，這些網(wǎng)址只要連接就會(huì)自動(dòng)下載大量的病毒與惡意插件。然后修改接管啟動(dòng)管理器，最可怕的是，會(huì)通過(guò)內(nèi)部網(wǎng)絡(luò)傳播，一臺(tái)中招，能引發(fā)整個(gè)網(wǎng)絡(luò)的電腦全部自動(dòng)重啟。

重點(diǎn)是，一個(gè)病毒，如果以hook方式入侵系統(tǒng)，接替硬盤(pán)驅(qū)動(dòng)的方式效率太低了，而且毀壞還原的方式這也不是最好的，還有就是這種技術(shù)應(yīng)用范圍非常小，只有還原技術(shù)廠商范圍內(nèi)有傳播，在這方面國(guó)際上也只有中國(guó)在用，所以，很可能就是行業(yè)內(nèi)杠。

對(duì)于網(wǎng)吧而言，機(jī)器狗就是劍指網(wǎng)吧而來(lái)，針對(duì)所有的還原產(chǎn)品設(shè)計(jì)，可預(yù)見(jiàn)其破壞力很快會(huì)超過(guò)熊貓燒香。好在現(xiàn)在很多免疫補(bǔ)丁都以出現(xiàn)，發(fā)稿之日起，各大殺毒軟件都以能查殺。

免疫補(bǔ)丁之爭(zhēng)

現(xiàn)在的免疫補(bǔ)丁之?dāng)?shù)是疫苗形式，以無(wú)害的樣本復(fù)制到drivers下，欺騙病毒以為本身已運(yùn)行，起到阻止危害的目的。這種形式的問(wèn)題是，有些用戶(hù)為了自身安全會(huì)在機(jī)器上運(yùn)行一些查毒程序（比如QQ醫(yī)生之類(lèi)）。這樣疫苗就會(huì)被誤認(rèn)為是病毒，又要廢很多口舌。

解決之道

最新的解決方案是將system32/drivers目錄單獨(dú)分配給一個(gè)用戶(hù)，而不賦予administror修改的權(quán)限。雖然這樣能解決，但以后安裝驅(qū)動(dòng)就是一件頭疼的事了。

來(lái)徹底清除該病毒，處理后重啟一下電腦就可以了，之前要打上補(bǔ)?。?

或者這樣：

1注冊(cè)表，組策略中禁止運(yùn)行userinit.exe 進(jìn)程

2 在啟動(dòng)項(xiàng)目中加入批處理

A : 強(qiáng)制結(jié)束userinit.exe進(jìn)程 Taskkill /f /IM userinit.exe （其中“/IM”參數(shù)后面為進(jìn)程的圖像名，這命令只對(duì)XP用戶(hù)有效）

B : 強(qiáng)制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe

C : 創(chuàng)建userinit.exe免疫文件到%SystemRoot%\system32\

命令：md %SystemRoot%\system32\userinit.exe >nul 2>nul

或者 md %SystemRoot%\system32\userinit.exe

attrib +s +r +h +a %SystemRoot%\system32\userinit.exe

D : reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe” /v debugger /t reg_sz /d debugfile.exe /f

userinit1.exe是正常文件改了名字，多加了一個(gè)1，你也可以自己修改，不過(guò)要手動(dòng)修改這4個(gè)注冊(cè)表，并導(dǎo)出，這個(gè)批處理才能正常使用。

最新動(dòng)向

好像機(jī)器狗的開(kāi)發(fā)以停止了，從樣本放出到現(xiàn)在也沒(méi)有新的版本被發(fā)現(xiàn)，這到讓我們非常擔(dān)心，因?yàn)殡m著研究的深入，現(xiàn)在防御的手段都是針對(duì)病毒工作原理的，一但機(jī)器狗開(kāi)始更新，稍加改變工作原理就能大面積逃脫普遍的防御手段，看來(lái)機(jī)器狗的爆發(fā)只是在等待，而不是大家可以高枕了。

目前網(wǎng)上流傳一種叫做機(jī)器狗的病毒，此病毒采用hook系統(tǒng)的磁盤(pán)設(shè)備棧來(lái)達(dá)到穿透目的的，危害極大，可穿透目前技術(shù)條件下的任何軟件硬件還原！基本無(wú)法靠還原抵擋。目前已知的所有還原產(chǎn)品，都無(wú)法防止這種病毒的穿透感染和傳播。

機(jī)器狗是一個(gè)木馬下載器，感染后會(huì)自動(dòng)從網(wǎng)絡(luò)上下載木馬、病毒，危及用戶(hù)帳號(hào)的安全。

機(jī)器狗運(yùn)行后會(huì)釋放一個(gè)名為PCIHDD.SYS的驅(qū)動(dòng)文件，與原系統(tǒng)中還原軟件驅(qū)動(dòng)進(jìn)行硬盤(pán)控制權(quán)的爭(zhēng)奪，并通過(guò)替換userinit.exe文件，實(shí)現(xiàn)開(kāi)機(jī)啟動(dòng)。

>> 那么如何識(shí)別是否已中毒呢？

是否中了機(jī)器狗的關(guān)鍵就在 Userinit.exe 文件，該文件在系統(tǒng)目錄的 system32 文件夾中，點(diǎn)擊右鍵查看屬性，如果在屬性窗口中看不到該文件的版本標(biāo)簽的話，說(shuō)明已經(jīng)中了機(jī)器狗。如果有版本標(biāo)簽則正常。

臨時(shí)解決辦法：

一是在路由上封IP：

ROS腳本,要的自己加上去

/ ip firewall filter

add chain=forward content=yu.8s7.net action=reject comment=”DF6.0″

add chain=forward content= www.tomwg.com action=reject

二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys ，

三是把他要修改的文件在做母盤(pán)的時(shí)候，就加殼并替換。

在%systemroot%\system32\drivers\目錄下建立一個(gè)名為“pcihdd.sys ”的文件夾，設(shè)置屬性為“任何人禁止”

批處理

1、md %systemroot%\system32\drivers\pcihdd.sys

2、cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

3、cacls %systemroot%\system32\userinit.exe /e /p everyone:r

4、exit

目前，網(wǎng)絡(luò)流行以下解決方法，或者可以在緊急情況下救急：

1、首先在系統(tǒng)system32下復(fù)制個(gè)無(wú)毒的userinit.exe，文件名為FUCKIGM.exe(文件名可以任意取)，這就是下面批處理要指向執(zhí)行的文件！也就是開(kāi)機(jī)啟動(dòng)userinit.exe的替代品！而原來(lái)的userinit.exe保留！其實(shí)多復(fù)制份的目的只是為了多重保險(xiǎn)！可能對(duì)防止以后變種起到一定的作用。

2、創(chuàng)建個(gè)文件名為userinit.bat的批處理（文件名也可任意取，但要和下面說(shuō)到的注冊(cè)表鍵值保持一致即可），內(nèi)容如下：

start FUCKIGM.exe (呵呵，夠簡(jiǎn)單吧？)

3、修改注冊(cè)表鍵值，將userinit.exe改為userinit.bat。內(nèi)容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

“Userinit”=”C:\WINDOWS\system32\userinit.bat,”

就這3步，讓這條狗再也兇不起來(lái)！這是在windows 2003測(cè)試的，雙擊機(jī)器狗后，沒(méi)什么反應(yīng)，對(duì)比批處理也是正常，即這狗根本沒(méi)改動(dòng)它！開(kāi)關(guān)機(jī)游戲均無(wú)異常！但唯一美中不足的是，采用經(jīng)典模式開(kāi)機(jī)的啟動(dòng)時(shí)會(huì)出現(xiàn)個(gè)一閃而過(guò)的黑框！

如果嫌麻煩，也不要緊。上面三條批處理網(wǎng)友已搞好了，直接復(fù)制下面的這個(gè)存為批處理執(zhí)行就OK了。三步合二為一

@echo off

:::直接復(fù)制系統(tǒng)system32下的無(wú)毒userinit.exe為FUCKIGM.exe

cd /d %SystemRoot%\system32

copy /y userinit.exe FUCKIGM.exe >nul

:::創(chuàng)建userinit.bat

echo @echo off >>userinit.bat

echo start FUCKIGM.exe >>userinit.bat

:::注冊(cè)表操作

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon” /v Userinit / t REG_SZ /d “C:\WINDOWS\system32\userinit.bat,” /f >nul

:::刪掉自身（提倡環(huán)保）

del /f /q %0

當(dāng)然，如果實(shí)在不行，下載程序killigm。然后直接解壓運(yùn)行里面的程序:機(jī)器狗免疫補(bǔ)丁.bat 執(zhí)行就可以了.

網(wǎng)上流傳的另一種新的變種的防止方法 :

開(kāi)始菜單運(yùn)行.輸入CMD

cd ……到drivers

md pcihdd.sys

cd pcihdd.sys

md 1…\

可防止最新變種。請(qǐng)注意：此法只能是防止，對(duì)于殺機(jī)器狗還得靠最新的殺毒程序才行。

針對(duì)該病毒，反病毒專(zhuān)家建議廣大用戶(hù)及時(shí)升級(jí)殺毒軟件病毒庫(kù)，補(bǔ)齊系統(tǒng)漏洞，上網(wǎng)時(shí)確保打開(kāi)“網(wǎng)頁(yè)監(jiān)控”、“郵件監(jiān)控”功能；禁用系統(tǒng)的自動(dòng)播放功能，防止病毒從U盤(pán)、MP3、移動(dòng)硬盤(pán)等移動(dòng)存儲(chǔ)設(shè)備進(jìn)入到計(jì)算機(jī)；登錄網(wǎng)游賬號(hào)、網(wǎng)絡(luò)銀行賬戶(hù)時(shí)采用軟鍵盤(pán)輸入賬號(hào)及密碼

什么是機(jī)器狗?

機(jī)器狗就是一個(gè)木馬下載器,且破壞還原系統(tǒng),穿透還原系統(tǒng)然后在特定的網(wǎng)站下載木馬破壞你的系統(tǒng)

什么是機(jī)器狗？？？

網(wǎng)上那些人用的方法很復(fù)雜.試試我的方法.你看得懂的

1：結(jié)束掉被病毒修改覆蓋后的“C:\windows\explorer.exe”程序進(jìn)程，刪除該程序文件。（注意，一定要做下一步的操作，不然重啟無(wú)法進(jìn)入桌面）

2：也許系統(tǒng)會(huì)自動(dòng)還原回來(lái)一個(gè)正常的“explorer.exe”桌面程序，如果沒(méi)有還原的話，我們可以手動(dòng)把“C:\windows\system32\dllcache\”下的“explorer.exe”文件拷貝到“C:\windows\”下。

3：手動(dòng)卸載掉病毒惡意驅(qū)動(dòng)程序“phy.sys”文件?？梢栽谧?cè)表中找到病毒惡意驅(qū)動(dòng)程序“phy.sys”的啟動(dòng)關(guān)聯(lián)位置然后刪除，接著再刪除掉“C:\windows\system32\DRIVERS\phy.sys”文件。 我實(shí)際試過(guò)N次這種方法，針對(duì)該病毒決定好使。

4：重新啟動(dòng)計(jì)算機(jī)后，一切就都會(huì)變?yōu)檎Ａ恕５窃撔掳娴摹皺C(jī)器狗”病毒會(huì)下載27個(gè)(不固定)惡意程序到被感染計(jì)算機(jī)中安裝運(yùn)行，這些病毒可以查殺，效果很不錯(cuò)。

什么是機(jī)器狗a?

是一個(gè)木馬下載器

中了新的機(jī)器狗

下載個(gè)清理助手綠色免安裝版的,聯(lián)網(wǎng)升級(jí)再在安全模式下查殺

中了機(jī)器狗？

一、 病毒標(biāo)簽：

病毒名稱(chēng)： 機(jī)器狗/Trojan-Downloader.Win32.Agent.blm

病毒類(lèi)型： 下載者/機(jī)器狗

文件 MD5：1602c5e50101cf97e85581bc461bd351

公開(kāi)范圍： 完全公開(kāi)

危害等級(jí)： 4

文件長(zhǎng)度： 48.0 KB (49,152 字節(jié))

開(kāi)發(fā)工具： MASM32 / TASM32

加殼類(lèi)型： 未知?dú)?無(wú)殼

命名對(duì)照：

卡巴斯基 Trojan-Downloader.Win32.Agent.blm

安博士V3 Dropper/Agent.49152.O

江民 Trojan/Agent.pgz

熊貓衛(wèi)士 Trj/Downloader.MDW

瑞星 Trojan.DL.Win32.Agent.yrh

賽門(mén)鐵克 Trojan.Dropper

趨勢(shì) TROJ_Generic

麥咖啡 Generic Downloader.ab

金山毒霸 Win32.TrojDownloader.Agent.61440

二、 病毒描述：

該病毒行為是下載者，它穿冰點(diǎn)，修改USERINIT，極為隱蔽，大小與系統(tǒng)的一樣，只能通過(guò)文件對(duì)比或者數(shù)字簽名驗(yàn)證到真假。連接網(wǎng)絡(luò)下載一大堆東西：

http://60.190.203.154/100.exe

http://60.190.203.154/101.exe

http://60.190.203.154/102.exe

http://60.190.203.154/103.exe

http://60.190.203.154/104.exe

http://60.190.203.154/105.exe

http://60.190.203.154/106.exe

http://60.190.203.154/107.exe

http://60.190.203.154/108.exe

http://60.190.203.154/109.exe

http://60.190.203.154/110.exe

http://60.190.203.154/111.exe

http://60.190.203.154/112.exe

http://60.190.203.154/113.exe

http://60.190.203.154/114.exe

http://60.190.203.154/115.exe

http://60.190.203.154/116.exe

http://60.190.203.154/117.exe

http://60.190.203.154/118.exe

http://60.190.203.154/119.exe

http://mama.jopenkk.com/down/dogdel.exe

http://mama.jopenkk.com/down/arpkk.exe

http://mama.jopenkk.com/down/hosts.exe。

三、 行為分析

釋放

C:\windows\system32\drivers\pcihdd.sys

6.60 KB (6,768 字節(jié))

并加載。穿越冰點(diǎn)。

創(chuàng)建名為pcihdd的服務(wù)，啟動(dòng)服務(wù)。

直接訪問(wèn)硬盤(pán)，寫(xiě)入文件userinit.exe，把原來(lái)的userinit.exe替換掉。

刪除pcihdd.sys與pcihdd.服務(wù)。

userinit.exe等待網(wǎng)絡(luò)連接，網(wǎng)絡(luò)通暢的時(shí)候連接http://1.jopenkk.com/test.cer或者h(yuǎn)ttp://yu.8s7.net/cert.cer根據(jù)列表下載病毒，地址因樣本而異，應(yīng)該是有生成器在流傳。

下載之后分別創(chuàng)建進(jìn)程進(jìn)行啟動(dòng)。

解決方案：

關(guān)閉冰點(diǎn)，先按 ctrl+AIt+shift+F6 他會(huì)出來(lái)個(gè)框你就把你那密碼輸入進(jìn)去。然后在最下面選擇最下面那個(gè)單選按鈕-BOOT THAWED ，重新啟動(dòng)下機(jī)器，刪除C:\windows\system32\userinit.exe,到DLLCACHE里面找到備份的userinit.exe放到SYSTEM32，或者找個(gè)正常干凈的系統(tǒng)復(fù)制userinit.exe去替換，然后重起系統(tǒng)即可

電腦中機(jī)器狗

機(jī)器狗專(zhuān)殺,或進(jìn)入安全模式中查殺,再不行只有把硬盤(pán)格掉

網(wǎng)吧系統(tǒng)中機(jī)器狗“`

專(zhuān)殺工具

http://www.xs2009.cn/PE/List.asp?SelectID=7218&ClassID=19

通過(guò)禁止文件訪問(wèn)的形式來(lái)禁止病毒的運(yùn)行，可自由設(shè)置配置文件并方便的加入到客戶(hù)機(jī)啟動(dòng)運(yùn)行列表項(xiàng)，具體操作如下:

一、驅(qū)動(dòng)內(nèi)核層防御：( 從原理上防御 )

.. 針對(duì)機(jī)器狗病毒對(duì)網(wǎng)吧業(yè)帶來(lái)的巨大影響，強(qiáng)者公司經(jīng)過(guò)日夜奮戰(zhàn)，終于反編譯了該木馬大部分代碼，提供機(jī)器狗病毒的終級(jí)解決方案，本著對(duì)用戶(hù)負(fù)責(zé)的態(tài)度，現(xiàn)維護(hù)系統(tǒng)免費(fèi)加入“驅(qū)動(dòng)內(nèi)核級(jí)”機(jī)器狗病毒防御，徹底杜絕機(jī)器狗病毒包括其變種的破壞.

關(guān)鍵它是完全免費(fèi)的.

二、禁止文件訪問(wèn)法：( 初級(jí)防御)

1．下載 “機(jī)器狗病毒防御補(bǔ)丁點(diǎn)擊下載” , 把UnCracker.exe和UnCracker.ini兩個(gè)文件放在服務(wù)端的一個(gè)共享目錄下,（如：\\qzse\netgame1），并保證在客戶(hù)機(jī)可以正常訪問(wèn)這個(gè)路徑；

2．打開(kāi)服務(wù)端主控制器在隨意哪臺(tái)客戶(hù)機(jī)上點(diǎn)右鍵-à運(yùn)行工作站命令,加上如上形象圖中所設(shè)置的工作站每次啟動(dòng)運(yùn)行列表:

3．編輯UnCracker.ini文件，如下所述：

[system]

1=c:\windows\hh.exe

2=…

[nosystem]

1=C:\WINDOWS\system32\drivers\pcihdd.sys(可防機(jī)器狗病毒)

2=d:\command.com

3=d:\Iexplores.exe

以上內(nèi)容可以根據(jù)用戶(hù)需求自由添加,如防止arp運(yùn)行時(shí)可在配置中加入”c:\windows\system32\drivers\npf.sys”,”c:\windows\system32\packet.dll”,

“c:\windows\system32\pthreadVC.dll”,”c:\windows\system32\wpcap.dll”.

網(wǎng)吧中了機(jī)器狗

請(qǐng)把下面IP在你的路游上封絕 58.221.254.103

機(jī)器狗跟IGM.EXE 暫時(shí)只通過(guò)這個(gè)IP去傳播

暫時(shí)沒(méi)有變種 這是下策 因?yàn)楝F(xiàn)在還沒(méi)找到最終極的解決辦法 一旦變種或者換IP 所有的還原軟件全軍覆沒(méi) 我們是同行 我也深受其害 大家一起努力打擊它吧

還有 封了IP之后 還得重新做母盤(pán)

XSBPAKNT.exe 為 防機(jī)器狗補(bǔ)丁

userinit.exe 為無(wú)毒的文件，請(qǐng)?zhí)鎿Q x:\windows\system32\ 下的同名文件，如無(wú)法替換，請(qǐng)?jiān)谌?

務(wù)管理器中結(jié)束userinit.exe 的進(jìn)程。

基本可以解決問(wèn)題，為防在傳播，務(wù)必全盤(pán)殺毒。。。。

http://www.dhnj.com/Soft/ShowSoft.asp?SoftID=192

參考資料： http://www.dhnj.com/Soft/ShowSoft.asp?SoftID=192

有沒(méi)有中機(jī)器狗

機(jī)器狗病毒超級(jí)頑固 你在安全模式下查殺 多殺幾次