有關機器狗病毒的介紹

  此病毒采用hook系統的磁盤設備棧來達到穿透目的的，危害極大，可穿透目前技術條件下的任何軟件硬件還原！基本無法靠還原抵擋。目前已知的所有還原產品http://.，都無法防止這種病毒的穿透感染和傳播,它能穿透還原卡、冰點的病毒，但是在各個論壇都沒有樣本證據，直到2007年8月29日終於有人在社區裡貼出了一個樣本。這個病毒沒有名字，圖標是SONY的機器狗阿寶，就像前輩熊貓燒香一樣，大家給它起了個名字叫機器狗。

　　機器狗是一個木馬下載器，感染後會自動從網絡上下載木馬、病毒，危及用戶帳號的安全。機器狗運行後會釋放一個名為PCIHDD.SYS的驅動文件，與原系統中還原軟件驅動進行硬盤控制權的爭奪，並通過替換userinit.exe文件，實現開機啟動。
[編輯本段]工作原理
　　機器狗本身會釋放出一個pcihdd.sys到drivers目錄，pcihdd.sys是一個底層硬盤驅動，提高自己的優先級接替還原卡或冰點的硬盤驅動，然後訪問指定的網址，這些網址只要連接就會自動下載大量的病毒與惡意插件。然後修改接管啟動管理器，最可怕的是，會通過內部網絡傳播，一台中招，能引發整個網絡的電腦全部自動重啟。
　　重點是，一個病毒，如果以hook方式入侵系統，接替硬盤驅動的方式效率太低了，而且毀壞還原的方式這也不是最好的，還有就是這種技術應用范圍非常小，只有還原技術廠商范圍內有傳播，在這方面國際上也只有中國在用，所以，很可能就是行業內槓。
　　對於網吧而言，機器狗就是劍指網吧而來，針對所有的還原產品設計，可預見其破壞力很快會超過熊貓燒香。好在現在很多免疫補丁都以出現，發稿之日起，各大殺毒軟件都以能查殺。
[編輯本段]如何識別
　　是否中了機器狗的關鍵就在 Userinit.exe 文件，該文件在系統目錄的 system32 文件夾中，右鍵點擊一個應用程序，後綴為dll或exe的（記事本格式的屬性沒有版本）單看屬性。如果在屬性窗口中看不到該文件的版本標簽的話，說明已經中了機器狗。如果有版本標簽則正常。
[編輯本段]免疫補丁
　　現在的免疫補丁之數是疫苗形式，以無害的樣本復制到drivers下，欺騙病毒以為本身以運行，起到阻止危害的目的。這種形式的問題是，有些用戶為了自身安全會在機器上運行一些查毒程序（比如QQ醫生之類）。這樣疫苗就會被誤認為是病毒，又要廢很多口舌。
      解決之道
　　方案1
　　解決方案是將system32/drivers目錄單獨分配給一個用戶，而不賦予administror修改的權限。雖然這樣能解決，但以後安裝驅動就是一件頭疼的事了。
　　徹底清除該病毒，處理後重啟一下電腦就可以了，之前要打上補丁！
　　或者這樣：
　　1注冊表，組策略中禁止運行userinit.exe 進程
　　2 在啟動項目中加入批處理
　　A : 強制結束userinit.exe進程 Taskkill /f /IM userinit.exe （其中“/IM”參數後面為進程的圖像名，這命令只對XP用戶有效）
　　B : 強制刪除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe
　　C : 創建userinit.exe免疫文件到%SystemRoot%\system32\
　　命令：md %SystemRoot%\system32\userinit.exe >nul 2>nul
　　或者 md %SystemRoot%\system32\userinit.exe
　　attrib +s +r +h +a %SystemRoot%\system32\userinit.exe
　　D : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
　　userinit1.exe是正常文件改了名字，多加了一個1，你也可以自己修改，不過要手動修改這4個注冊表，並導出，這個批處理才能正常使用。
　　方案2
　　1、首先在系統system32下復制個無毒的userinit.exe，文件名為FUCKIGM.exe(文件名可以任意取)，這就是下面批處理要指向執行的文件！也就是開機啟動userinit.exe的替代品！而原來的userinit.exe保留！其實多復制份的目的只是為了多重保險！可能對防止以後變種起到一定的作用。
　　2、創建個文件名為userinit.bat的批處理（文件名也可任意取，但要和下面說到的注冊表鍵值保持一致即可），內容如下：
　　start FUCKIGM.exe (呵呵，夠簡單吧？)
　　3、修改注冊表鍵值，將userinit.exe改為userinit.bat。內容如下：　
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
　　"Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"
　　就這3步，讓這條狗再也凶不起來！這是在windows 2003測試的，雙擊機器狗後，沒什麼反應，對比批處理也是正常，即這狗根本沒改動它！開關機游戲均無異常！但唯一美中不足的是，采用經典模式開機的啟動時會出現個一閃而過的黑框！
　　如果嫌麻煩，也不要緊。上面三條批處理網友已搞好了，直接復制下面的這個存為批處理執行就OK了。三步合二為一
　　@echo off
　　:::直接復制系統system32下的無毒userinit.exe為FUCKIGM.exe
　　cd /d %SystemRoot%\system32
　　copy /y userinit.exe FUCKIGM.exe >nul
　　:::創建userinit.bat
　　echo @echo off >>userinit.bat
　　echo start FUCKIGM.exe >>userinit.bat
　　:::注冊表操作
　　reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul
　　:::刪掉自身（提倡環保）
　　del /f /q %0
　　當然，如果實在不行，下載程序killigm。然後直接解壓運行裡面的程序:機器狗免疫補丁.bat 執行就可以了.
　　網上流傳的另一種新的變種的防止方法 :
　　開始菜單運行.輸入CMD
　　cd ……到drivers
　　md pcihdd.sys
　　cd pcihdd.sys
　　md 1…\
　　可防止最新變種。請注意：此法只能是防止，對於殺機器狗還得靠最新的殺毒程序才行。
　　臨時解決辦法：
　　一是在路由上封IP：
　　ROS腳本,要的自己加上去
　　/ ip firewall filter
　　add chain=forward content=yu.8s7.net action=reject comment="DF6.0"
　　add chain=forward content=www.tomwg.com action=reject
　　二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys ，
　　三是把他要修改的文件在做母盤的時候，就加殼並替換。
　　在%systemroot%\system32\drivers\目錄下 建立個 明字 為 pcihdd.sys 的文件夾 設置屬性為 任何人禁止批處理
　　md %systemroot%\system32\drivers\pcihdd.sys
　　cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
　　cacls %systemroot%\system32\userinit.exe /e /p everyone:r
　　exit 有關機器狗病毒的介紹.