订阅病毒名稱(中文):
機器狗變種11636
病毒別名:
機器狗,IGM
威脅級別:
★★☆☆☆
病毒類型:
木馬下載器
病毒長度:
11636
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個可以穿透還原軟件的病毒。病毒通過直接讀寫文件簇來繞過一些文件過濾系統的監視,病毒會釋放一個驅動來實現還原軟件的穿透,並修改系統文件USERINIT.EXE,中毒後每次開機就會下載大量木馬到本地運行。
該病毒就解除還原系統的保護,使冰點、硬盤保護卡實效。接著,該病毒會利用MS06-014和MS07-017系統漏洞和等多個應用軟件漏洞,從http://xx.exiao***.com/、http://www.h***.biz/、http://www.xqh***.com/等惡意網址下載多款網遊木馬,盜取包括傳奇、魔獸世界、征途、奇迹等多款網遊帳號和密碼,嚴重威脅遊戲玩家數字財産的安全。正因爲冰點還原軟件和硬盤保護卡大多在網吧使用,因此網吧成爲該病毒發作的重災區。
一、病毒運行後,病毒會釋放一個驅動文件pcihdd.sys到%system32%drivers\下,
並創建服務加載它,加載完畢後就將其刪除.
二、.病毒通過讀\\.\PhysicalDrive0(注,和\\.\PhysicalHardDisk0區別開來)來獲取MBR的信息,並根據MBR信息來判定第一分區是否爲啓動分區且分區類型爲病毒所支持的,若不是則不繼續破壞,目前該病毒支持FAT32,FAT32LBA,NTFS三種分區格式.
三、病毒利用pcihdd.sys創建了\Device\PhysicalHardDisk0及其符號連接\\.\PhysicalHardDisk0來對病毒提供解密,破解還原軟件等功能.並只處理:
IRP_MJ_CREATE,IRP_MJ_CLOSE,IRP_MJ_DEVICE_CONTROL.
四、病毒感染%system32%Userinit.exe流程如下:
1.病毒首先打開\\.\PhysicalHardDisk0,這時驅動便找到硬盤的驅動設備\Device\Harddisk0\DR0(實際就是\\.\PhysicalDrive0所指向的設備),並判定是否有被冰點之類還原軟件的設備所挂接,若有則解除還原軟件的挂接,是還原類軟件對\\.\PhysicalDrive0攔截失效.
2.然後打開Userinit.exe,並利用FSCTL_GET_RETRIEVAL_POINTERS來獲取文件數據的分布信息,再將控制碼0xF0003C04發送給\\.\PhysicalHardDisk0來獲取解密的資源數據.
3.最後,通過\\.\PhysicalDrive0將獲取的解密數據寫入到Userinit.exe的第一簇.由于病毒是直接修改文件簇的,所以感染後的Userinit.exe大小和屬性等信息是不變,唯一不同的是文件內容及版本信息.
五、被修改後的Userinit.exe:
1.查詢SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon下的Shell鍵值
2.創建Shell進程
3.等待網絡鏈接,當網絡鏈接暢通後,則從http://yu.8s7.net/cert.cer下載病毒列表
4.對于列表中的文件每個文件,創建一個新線程下載並執行,線程計數加1
5.等待所有線程結束後(線程計數爲0)結束進程.
