机械狗病毒

机器狗病毒（2008年，木马）社会背景，经济损失：因为其他病毒在装有软硬件还原卡计算机中只要重新启动计算机那么系统中的文件就会还原，所以就算计算机中了病毒在没有重启的情况下是可以驻留在系统，但是只要重启计算机，计算机中安装的还原卡就会是整个系统恢复到初始状态，病毒就会被清除，所以病毒就不会常驻计算机系统内。这就促使了一些机器狗的诞生，特别是针对网吧中计算机中的装有还原卡的机器，机器狗的制造者就想办法制造一种能够穿透还原卡、冰点的病毒。机器狗病毒通过采用hook系统的磁盘设备栈来达到穿透的目的，从而常驻内存，即使计算机重启也无法达到清除！这样的想法就导致了机器狗的产生！也有可能是因为行业内的市场竞争导致，机器狗病毒因其发作时间之长、影响范围之大成为“毒”王。“机器狗”累计造成了至少80亿元人民币的经济损失，危害远远超过著名的“熊猫烧香”。杭州顺网信息技术有限公司宣布悬赏50万元捉拿该病毒元凶。危害远远超过曾轰动一时的“熊猫烧香”。现象：机器狗病毒是一种木马下载器，此病毒也是一个典型的网络架构木马型病毒，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全，机器狗本身运行的时候也会产生一个名为PCIHDD.SYS的驱动文件，采用了hook系统的磁盘设备栈来达到穿透目的的与原系统中还原软件驱动进行硬盘控制权的争夺，并且通过替换userinit.exe文件来实现开机就启动机器狗，可以说穿透目前技术下的任何一种软硬件的还原，危害性极大！原理：机器狗是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。传播途径：机器狗病毒的传播途径可以通过U盘、移动硬盘、网页的挂载、网站的钓鱼传播机制:机器狗”病毒的传播主要是利用系统或应用软件的漏洞进行的。破坏机制:机器狗通过PCIHDD.SYS的驱动文件，来争夺硬盘的控制权，使软硬件还原卡无用武之地，而常驻系统，同时运作时候从网站下载一些病毒。清除方法（自动/手动）：一、1、注册表，组策略中禁止运行userinit.exe进程2在启动项目中加入批处理A:强制结束userinit.exe进程Taskkill/f/IMuserinit.exe（其中“/IM”参数后面为进程的图像名，这命令只对XP用户有效）:强制删除userinit.exe文件BDEL/F/A/Q%SystemRoot%\system32\userinit.exeC:创建userinit.exe免疫文件到%SystemRoot%\system32\命令：md%SystemRoot%\system32\userinit.exenul2nul或者md%SystemRoot%\system32\userinit.exeattrib+s+r+h+a%SystemRoot%\system32\userinit.exeD:regaddHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions\userinit.exe/vdebugger/treg_sz/ddebugfile.exe/fuserinit1.exe是正常文件改了名字，多加了一个1，你也可以自己修改，不过要手动修改这4个注册表，并导出，这个批处理才能正常使用。二、1、首先在系统system32下复制个无毒的userinit.exe，文件名为FUCKIGM.exe(文件名可以任意取)，这就是下面批处理要指向执行的文件！也就是开机启动userinit.exe的替代品！而原来的userinit.exe保留！其实多复制份的目的只是为了多重保险！可能对防止以后变种起到一定的作用。2、创建个文件名为userinit.bat的批处理（文件名也可任意取，但要和下面说到的注册表键值保持一致即可），内容如下：startFUCKIGM.exe3、修改注册表键值，将userinit.exe改为userinit.bat。内容如下：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]Userinit=C:\\WINDOWS\\system32\\userinit.bat,4、这三个步骤可以使用一个批出理文件完成（@echooff:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.execd/d%SystemRoot%\system32copy/yuserinit.exeFUCKIGM.exenul:::创建userinit.batecho@echooffuserinit.batechostartFUCKIGM.exeuserinit.bat:::注册表操作regaddHKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon/vUserinit/tREG_SZ/dC:\WINDOWS\system32\userinit.bat,/fnul）三、如果您想彻底防御机器狗病毒，现在有了一种硬件型防御方案可以考虑，就是蓝芯防毒卡，这个卡从技术原理上来说，物理上直接接管了硬盘读写，也就是说，硬盘先接到防毒卡上，防毒卡再通过下一代高速硬盘接口PCI-E接到主板上（针对老一代主板也有PCI接口的规格）。这样防毒卡得以获得防御病毒的最坚实的一道把关口，让我们彻底防御机器狗病毒。从理论上来说，只要计算机体系还是冯诺依曼体系，只要病毒还是软件手段，就可以防止任何已知或未知的机器狗穿透方式的破坏了。