现象:
根据相关资料,机器狗病毒会在%systemroot%\system32\drivers目录下生成一个pcihdd.sys的内核驱动文件。但据笔者调查,确没能发现该文件的踪迹.按这一机制,制作的防疫补丁也不起作用。(笔者实际测试表明,打了该防疫补丁的机子,依然中毒)
userinit.exe病毒,在启动[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]处加载。加载成功后,到指定网址疯狂下载其它病毒及木马。几乎大部分都是arp病毒, 导致局域网速度奇慢,网络一度陷入瘫痪。
笔者监控得知,该文件下载的病毒包括以下:
DbgHlp32.exe
IGM.exe
cmdbcs.exe
vml.exe
swchost.exe
kvdxsfis.exe
attrib.exe
kvsc3.exe
avpsrv.exe
这些病毒同时发作,令整个局域网络陷入网络交通拥挤的状态。用相应的arp监控软件及路由器监控,都可以查看到局域网arp包的异常。
该病毒已有进一步漫延之势,截至发稿为止,本网吧已发现该病毒至少会从以下三个网址下载N多其它病毒及木马:
2.jopenqc.com
1.jopenqq.com
1.jopekk.com
实际上,谈越过冰点,也许为时尚早。笔者安装的冰点6.0,还是能正常使用,惟独userinit.exe文件被修改,其它地方未发现异常.清除该病毒临时方案,即用正常userinit.exe替换该文件,即可正常。该文件下载的众多病毒,重启系统后,依然被冰点还原。
问题是:userinit.exe文件是怎么被修改的?何时被修改的?搞清这两个问题,才能真正写出免疫程序。
回答:
IGM进程的出现是由于userinit.exe文件被修改后其实就是一个木马下载器,在开机的时候启动。并下载IGM等木马病毒。
穿透还原的方法和机器狗一样,也就是说,就是机器狗的一个变种。
机器狗病毒的原理是加载pcihdd.sys硬盘底层驱动,与还原软件争夺userinit.exe的控制权,pcihdd.sys加载成功后,修改userinit.exe文件 这个被修改的文件userinit.exe文件就是木马下载器
换句话说,本来不是木马的文件,被变成木马了。
