Antivirus Security Blog

      继“熊猫烧香”之后，一种名为“机器狗”的恶性计算机病毒正在公用网络蔓延。这是第一种可以穿透硬盘“还原卡”保护功能的病毒，因为其图标酷似Sony机器狗“AIBO”而被称为“机器狗”病毒。 “机器狗”病毒会自动从互联网下载各种病毒木马，并借助ARP病毒以几何级数增长速度传播，用户应尽快采取措施，防止其造成网络大面积瘫痪。  
　　在此前已知的病毒，对“还原卡”都无可奈何。但“机器狗”病毒通过自动释放驱动程序pcihdd.sys，可以采用物理直接读写方式绕过“还原卡”监控，感染Windows系统核心文件%SystemRoot%／system32／userinit.exe（可根据此文件的版本信息来判断，如果可以正常显示版本信息则证明一切正常，反之就肯定是“中招儿了”），从而穿透“还原卡”，造成系统重启后仍处于被病毒感染状态。同时，在“还原卡”环境下，传统杀毒软件不论是否升级，计算机重新启动后仍会退回到原先的版本，对“机器狗”病毒变种几乎没有查杀能力。更令人担忧的是，目前大多数所谓具有主动防御功能的杀毒软件，也不能对“机器狗”进行有效防范，公用网络面临着新的安全威胁。
解决办法：
      1、由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播，因此做好ARP欺骗的防范工作十分必要。建议有条件的网吧和企业，采用双向绑定策略，在交换机或路由器上绑定好全网的IP-MAC地址，在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒，该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。如果不具备双向绑定的条件，可以采用划分VLAN 的方法，来隔离网络的不同区域，这样可以把ARP病毒的危害降低到最小。
      2、更新好系统漏洞补丁，尤其是网页木马常用漏洞：MS06-014和MS07-017。目前根据江民科技反病毒中心恶意网址跟踪结果来看，发现绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的，因此打好补丁十分关键。
MS06-014 中文版系统补丁下载地址： http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS06-014 英文版系统补丁下载地址： http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址：http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
MS07-017 英文版系统补丁下载地址：http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx
      3、注意应用软件版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网页木马的方式入侵到电脑中，还利用时下最为流行的应用软件漏洞进行挂马传播，例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛，这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本，一定要使用从官方网站下载的最新版本的软件，这点十分重要，不要使用老版本，因为老版本还有很多漏洞。软色推荐用东方微点主动防御软件，为什么推荐呢，是因为软色用的是，并且微点确实很猛，很强大！
      4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要，由于“机器狗”病毒还会利用U盘传播，因此如果U盘中含有此病毒时，如果直接双击打开U盘，就会激活病毒，从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。
      关闭自动播放功能方法如下：在“开始”菜单的“运行”框中运行“gpedit. msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，保护计算机系统安全。
      5、及时升级杀毒软件病毒库，上网时确保打开“网页监控”、“邮件监控”功能。

机器狗病毒概述：
    近期，一种可以穿透还原软件与硬件还原卡的机器狗病毒异常肆虐。机器狗病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。机器狗病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。
    还原卡是一种系统安全产品，它可以使电脑在遭到破坏时，将系统还原到初始的健康状态。这种破坏包括无意的删除系统文件，有意的破解以及各种病毒和木马的攻击。所以，还原卡常常在网吧和学校这些系统容易被破坏的地方使用。而网吧、学校机房里的公用电脑大多安装了还原软件或还原卡，木马病毒就无法种植到网民的电脑，此次爆发的机器狗病毒不同之处在于，可以穿透还原卡对电脑系统的保护，抢占还原卡对硬盘的控制权，从而达到窃取帐号和游戏装备的目的。机器狗病毒的爆发时许多网吧出现网民的抱怨。
　　机器狗病毒爆发后，众多还原卡厂家措手不及，网络论坛不断有网管和网民抱怨遭到机器狗病毒攻击，一些还原软件都未幸免。机器狗病毒非常容易取得对硬盘的控制权，如还原卡没有对IDE通道这方面保护过，那么一些程序很容易通过IDE通道的保护漏洞进行功击，抢夺硬盘控制权，因此还原卡也被成功绕过。
机器狗病毒手动清除办法：
    机器狗或IGM变种能成功穿透还原，并狡猾地利用了userinit.exe这个系统必须的登录文件，将其更改成木马下载器，从而……我们防病毒方法一般都是被动地免疫了事，但对这个特殊文件却是不能免疫、不能删，改注册表改名也无济于事，也就怪不得这条狗要凶这么久了。
    总而言之， userinit.exe才是防止穿透的唯一突破口。于是，我就瞄准这个userinit.exe突破口，要好好保护它不被穿透更改为致命关键！于是，我试过N种方法来保护这个文件，但都因为这文件开机的特殊性失败了！昨晚，我忽然想到了另一点，机器狗穿透的是EXE文件，如果我用别的非EXE文件来代替开机的userinit.exe，结果会怎样呢？我首先想到用个批处理，里面代码只要写上个真正的userinit.exe执行命令就可以，这样就不影响开机，而机器狗能在注册表读取到的userinit键值只是这个简单的批处理，那么它要穿透的也只有这个批处理！测试结果真的大快人心，这条狗根本就没更改批处理，或者说，它拿批处理反而没办法！其实也是，批处理写的代码不到30个字节，这条狗怎么穿透更改都是有限的。顺便介绍下，这狗很聪明，穿透更改后，文件的日期和大小都不变的，还真厉害！但用FC却能对比出文件代码是变动了，好了，废话不多说了，看实际操作步骤：
    1、首先在系统system32下复制个无毒的userinit.exe，文件名为FUCKIGM.exe(文件名可以任意取)，这就是下面批处理要指向执行的文件！也就是开机启动userinit.exe的替代品！而原来的userinit.exe保留！其实多复制份的目的只是为了多重保险！可能对防止以后变种起到一定的作用。
    2、创建个文件名为userinit.bat的批处理（文件名也可任意取，但要和下面说到的注册表键值保持一致即可），内容如下：
    start  FUCKIGM.exe (呵呵，够简单吧？)
      3、修改注册表键值，将userinit.exe改为userinit.bat。内容如下：
    Windows Registry Editor Version 5.00
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"
      就这3步，让这条狗再也凶不起来！我是在windows 2003测试的，双击机器狗后，没什么反应，对比批处理也是正常，即这狗根本没改动它！开关机啊游戏啊均无异常！但唯一美中不足的是，采用经典模式开机的启动时会出现个一闪而过的黑框！
如果你嫌麻烦，也不要紧。上面三条批处理我给你搞好了，你直接复制下面的这个存为批处理执行就OK了。三步合二为一
   @echo off
        :::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
        cd /d %SystemRoot%\system32
        copy /y userinit.exe FUCKIGM.exe >nul
        :::创建userinit.bat
      echo @echo off >>userinit.bat
      echo start FUCKIGM.exe >>userinit.bat
        :::注册表操作
    reg add "HKLM\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Winlogon" /v Userinit  / t  REG_SZ  /d  "C:\WINDOWS\system32\userinit.bat," /f >nul    
        :::删掉自身（提倡环保）
    del /f /q %0
当然，如果您实在不行，下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.
网上流传的另一种新的变种的防止方法 :
      开始菜单运行.输入CMD
      cd ……到drivers
      md pcihdd.sys
      cd pcihdd.sys
      md 1...\
      可防止最新变种。不过我那个方法是治本的方法哦
请注意：此法只能是防止，对于杀机器狗还得靠最新的杀毒程序才行