该病毒大都在网咖等大型的电脑网路会比较流行，一般在个人电脑不容易中此病毒，现在大多防毒软体都可以查杀该病毒。

机器狗的生前身后，曾经有很多人说有穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字，图示是SONY的机器狗阿宝，就像前辈熊猫烧香一样，大家给它起了个名字叫机器狗。

工作原理

机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬碟驱动，提高自己的优先权接替还原卡或冰点的硬碟驱动，然后访问指定的网址，这些网址只要连线就会自动下载大量的病毒与恶意外挂程式。然后修改接管启动管理器，最可怕的是，会通过内部网路传播，一台中招，能引发整个网路的电脑全部自动重启。

重点是，一个病毒，如果以hook方式入侵系统，接替硬碟驱动的方式效率太低了，而且毁坏还原的方式这也不是最好的，还有就是这种技术套用範围非常小，只有还原技术厂商範围内有传播，在这方面国际上也只有中国在用，所以，很可能就是行业内讧。

对于网咖而言，机器狗就是剑指网咖而来，针对所有的还原产品设计，可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都已出现，发稿之日起，各大防毒软体都可以查杀。

免疫补丁之争

现在的免疫补丁之数是疫苗形式，以无害的样本複製到drivers下，欺骗病毒以为本身已运行，起到阻止危害的目的。这种形式的问题是，有些用户为了自身安全会在机器上运行一些查毒程式（比如360安全卫士之类）。这样疫苗就会被误认为是病毒，又要废很多口舌。

解决之道

最新的解决方案是将system32/drivers目录单独分配给一个用户，而不赋予administror修改的许可权。虽然这样能解决，但以后安装驱动就是一件头疼的事了。

来彻底清除该病毒，处理后重启一下电脑就可以了，之前要打上补丁！

或者这样：

1注册表，组策略中禁止运行userinit.exe 进程

2 在启动项目中加入批处理

A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe （其中“/IM”参数后面为进程的图像名，这命令只对XP用户有效）

B : 强制删除userinit.exe档案 DEL /F /A /Q %SystemRoot%\system32\userinit.exe

C : 创建userinit.exe免疫档案到%SystemRoot%\system32\

命令：md %SystemRoot%\system32\userinit.exe >nul 2>nul

或者 md %SystemRoot%\system32\userinit.exe

attrib +s +r +h +a %SystemRoot%\system32\userinit.exe

D : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f

userinit1.exe是正常档案改了名字，多加了一个1，你也可以自己修改，不过要手动修改这4个注册表，并导出，这个批处理才能正常使用。

最新动向

好像机器狗的开发己停止了，从样本放出到现在也没有新的版本被发现，这到让我们非常担心，因为随着研究的深入，现在防御的手段都是针对病毒工作原理的，一旦机器狗开始更新，稍加改变工作原理就能大面积逃脱普遍的防御手段，看来机器狗的爆发只是在等待，而不是大家可以高枕了。

目前网上流传一种叫做机器狗的病毒，此病毒採用hook系统的磁碟设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软体硬体还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。

机器狗是一个木马下载器，感染后会自动从网路上下载木马、病毒，危及用户帐号的安全。

机器狗运行后会释放一个名为PCIHDD.SYS的驱动档案，与原系统中还原软体驱动进行硬碟控制权的争夺，并通过替换userinit.exe档案，实现开机启动。

>> 那幺如何识别是否已中毒呢？

是否中了机器狗的关键就在 Userinit.exe 档案，该档案在系统目录的 system32 资料夹中，点击右键查看属性，如果在属性视窗中看不到该档案的版本标籤的话，说明已经中了机器狗。如果有版本标籤则正常。

临时解决办法：

一是在路由上封IP：

ROS脚本,要的自己加上去

/ ip firewall filter

add chain=forward content=yu.action=reject comment="DF6.0"

add chain=forward content=www. action=reject

二是在c:\windows\system32\drivers下建立免疫档案： pcihdd.sys ，

三是把他要修改的档案在做母盘的时候，就加壳并替换。

在%systemroot%\system32\drivers\目录下建立一个名为“pcihdd.sys ”的资料夹，设定属性为“任何人禁止”

批处理

1、md %systemroot%\system32\drivers\pcihdd.sys

2、cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

3、cacls %systemroot%\system32\userinit.exe /e /p everyone:r

4、exit

目前，网路流行以下解决方法，或者可以在紧急情况下救急：

1、首先在系统system32下複製个无毒的userinit.exe，档案名称为FUCKIGM.exe(档案名称可以任意取)，这就是下面批处理要指向执行的档案！也就是开机启动userinit.exe的替代品！而原来的userinit.exe保留！其实多複製份的目的只是为了多重保险！可能对防止以后变种起到一定的作用。

2、创建个档案名称为userinit.bat的批处理（档案名称也可任意取，但要和下面说到的注册表键值保持一致即可），内容如下：

start FUCKIGM.exe (呵呵，够简单吧？)

3、修改注册表键值，将userinit.exe改为userinit.bat。内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\WINDOWS\system32\userinit.bat,"

就这3步，让这条狗再也凶不起来！这是在windows 2003测试的，双击机器狗后，没什幺反应，对比批处理也是正常，即这狗根本没改动它！开关机游戏均无异常！但唯一美中不足的是，採用经典模式开机的启动时会出现个一闪而过的黑框！

如果嫌麻烦，也不要紧。上面三条批处理网友已搞好了，直接複製下面的这个存为批处理执行就OK了。三步合二为一

@echo off

:::直接複製系统system32下的无毒userinit.exe为FUCKIGM.exe

cd /d %SystemRoot%\system32

copy /y userinit.exe FUCKIGM.exe >nul

:::创建userinit.bat

echo @echo off >>userinit.bat

echo start FUCKIGM.exe >>userinit.bat

:::注册表操作

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul

:::删掉自身（提倡环保）

del /f /q %0

当然，如果实在不行，下载程式killigm。然后直接解压运行里面的程式:机器狗免疫补丁.bat 执行就可以了.

网上流传的另一种新的变种的防止方法 :

开始选单运行.输入CMD

cd ……到drivers

md pcihdd.sys

cd pcihdd.sys

md 1...\

可防止最新变种。请注意：此法只能是防止，对于杀机器狗还得靠最新的防毒程式才行。

针对该病毒，反病毒专家建议广大用户及时升级防毒软体病毒库，补齐系统漏洞，上网时确保打开“网页监控”、“邮件监控”功能；禁用系统的自动播放功能，防止病毒从随身碟、MP3、移动硬碟等移动存储设备进入到计算机；登录网游账号、网路银行账户时採用软键盘输入账号及密码

1：新版本“机器狗”病毒採用VC++ 6.0编写，老版本“机器狗”病毒採用彙编编写。

2：新版本“机器狗”病毒採用UPX加壳，老版本“机器狗”病毒採用未知壳。

3：新版本“机器狗”病毒驱动档案很小(1,536 位元组)，老版本“机器狗”病毒驱动档案很大(6,768 位元组)。

4：新版本“机器狗”病毒安装驱动后没有执行卸载删除操作，老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。

5：新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程式档案，老版本“机器狗”病毒只针对系统“userinit.exe”档案。

6：新版本“机器狗”病毒没有对注册表进行操作，老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”项进行操作(感觉该操作没必要，因为重新启动系统后，“还原保护程式”系统会将其还原掉)。

7：新版本“机器狗”病毒去到系统dllcache资料夹下调用真实系统档案运行，老版本“机器狗”病毒没有到系统dllcache资料夹下调用真实系统档案运行。

8：新版本“机器狗”病毒採用的是控制台程式图示，老版本“机器狗”病毒採用的是黑色机器小狗图案的图示。

大概列举出来了上边的几点，经过仔细分析它们的工作原理和编码风格后，可以推测出新版本“机器狗”病毒和老版本“机器狗”病毒决对不是出自一个人之手。

在此要纠正两个技术性的问题，网路上流传的一些关于分析“机器狗”病毒(新、老版本)的部分文章中，有两处表达错误的地方。

第一处是：在那些分析文章中所提到“‘机器狗’病毒会破坏‘还原保护程式’系统，使其还原功能失效”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并没有破坏‘还原保护程式’系统，也没有使其还原功能失效。只是安装了一个病毒自己的磁碟过滤驱动去操作真实的磁碟I/O连线埠，向真实的磁碟中执行修改覆盖“C:\windows\explorer.exe”目标档案(档案名称是病毒作者定义的，不固定、会变。但肯定的是，真实磁碟中是存在该档案的。并且病毒运行后，一般只会修改覆盖一个真实磁碟中的系统档案，再不会去破坏其它真实磁碟中的档案)操作。虽然‘机器狗’病毒运行后下载了很多其它恶意程式并安装运行，但重新启动计算机后，这些都会被‘还原保护程式’系统还原掉的，只是唯一那个被修改覆盖的真实磁碟档案没有被还原。如果发现重新启动计算机后，系统中依然有一大堆病毒在运行。其实，这些都是系统重新启动后，由那个被修改覆盖后的系统程式全部重新下载回来并安装运行的恶意程式。也就是说，每次重新启动计算机，都要重新下载安装一次所有的其它恶意程式”。

第二处是：在那些分析文章中所提到“‘机器狗’病毒会替换系统中的正常程式‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”或“‘机器狗’病毒会感染系统中的正常程式‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并不是替换了系统中的那些正常档案，而是针对那些正常档案在硬碟中所存放的真实物理地址进行以覆盖的方式去写入相应的恶意数据。大家可以找来正常的系统档案‘explorer.exe’、被病毒修改覆盖后的系统档案‘explorer.exe’和病毒释放出来的恶意程式‘tmp281.tmp’。对比它们内部数据代码后会发现，被病毒修改后的系统档案‘explorer.exe’的前部分数据代码和”病毒释放出来的恶意程式‘tmp281.tmp’档案的数据代码是完全相同的，而后边的数据代码依然是正常系统档案‘explorer.exe’后边的数据代码。”。

简单的概念解释：

替换：把原目标程式的数据代码全部清除掉，用新程式的数据代码来代替以前的整个程式。这样，替换后的程式只有新程式的功能。

感染：在不破坏原目标程式数据代码的前提下，向原目标程式的数据代码中追加上新程式的数据代码。这样，感染后的程式既有原目标程式的功能，又有新程式的功能。

覆盖：从原目标程式数据代码的档案头0地址处开始，向后依次执行覆盖写入新程式的数据代码操作，我们这里只假设原目标程式档案远远大于新程式。这样，覆盖后的程式只执行新程式的功能，虽然原目标程式的数据代码还存在一部分，但由于没有被调用，所以不会执行。

上边所指的“还原保护程式”为利用磁碟过滤驱动技术编写而成的系统还原保护程式，出名一点的软体有“冰点还原精灵”和“影子系统”等。也就是说，就算用户计算机安装了上边这样的“还原保护程式”，只要是中了“机器狗”一类利用穿“还原保护程式”技术的病毒，就算您重新启动计算机了，但被修改的那个档案“explorer.exe”也是依然不会被还原的，因为病毒的恶意代码已经覆盖进了这个真实的磁碟档案中。

目前的“机器狗”一类利用穿“还原保护程式”技术的病毒有一个致命的软肋，那就是他们所覆盖的真实系统档案在重新启动计算机后一定要自启动运行，不然就失去病毒存在的意义了。现今的“机器狗”病毒都只是能够穿透磁碟保护的，并穿透不了注册表(无法在注册表中保存添加或修改后的数据信息)，这个就是它最大的缺陷。其实，注册表数据信息也是以档案的形式保存在磁碟中的，下一代“机器狗”病毒可能会实现穿透注册表的功能，等那个时候，可能就很难防範了。这还是不算什幺的，下下一代的“机器狗”病毒可能会利用自己的磁碟过滤驱动去感染真实硬碟下的PE档案，相当的恐怖啊！！

一旦感染了该版本的“机器狗”病毒，它不仅仅可以穿透“还原保护程式”，真实系统也一样会中毒。因为病毒修改覆盖了真实的系统档案“C:\windows\explorer.exe”。所以每次重新启动计算机后，被修改覆盖的系统程式“C:\windows\explorer.exe”它都会在被感染计算机的后台连线网路下载骇客事先定义好的下载列表中的全部恶意程式并自动调用运行。那幺如果中该病毒的用户比较多，几万台计算机同时启动，骇客的下载伺服器会挂掉吗？呵呵~！！

问题1：这个最新的机器狗变种，是否与你12月19日发的病毒播报中的机器狗变种是同一个病毒？

回答：不是同一个病毒，只是工作原理十分的相似而已。经过仔细分析它们的工作原理和编码风格后，可以推测出新版本“机器狗”病毒和老版本“机器狗”病毒决对不是出自一个人之手。

问题2：这个最新的机器狗变种是否功能更强大？强大在哪儿？与以往机器狗病毒的不同之处在哪儿？

回答：应该是相对的强大了些。对比“机器狗”一类新、老版本病毒的部分特徵如下：

问题3：机器狗病毒对网咖的影响很大，对个人用户的影响有多少？

回答：个人用户的影响与网咖的影响是同样大的。因为不管计算机系统是否安装“还原保护系统”程式，都会同样下载非常多的(目前是下载27个恶意程式)网路游戏盗号木马等恶意程式进行安装运行，从而给被感染计算机用户带去一定的损失。如果“用户计算机硬体配置比较低”或者“存在所下载的多个恶意程式中出现相互不兼容现象”的话，会导致用户计算机系统崩溃掉无法启动运行。

1：结束掉被病毒修改覆盖后的“C:\windows\explorer.exe”程式进程，删除该程式档案。

2：也许系统会自动还原回来一个正常的“explorer.exe”桌面程式，如果没有还原的话，我们可以手动把“C:\windows\system32\dllcache\”下的“explorer.exe”档案拷贝到“C:\windows\”下。

3：手动卸载掉病毒恶意驱动程式“phy.sys”档案。可以在注册表中找到病毒恶意驱动程式“phy.sys”的启动关联位置然后删除，接着再删除掉“C:\windows\system32\DRIVERS\phy.sys”档案。 我实际试过N次这种方法，针对该病毒决定好使。

4：重新启动计算机后，一切就都会变为正常了。但是该新版的“机器狗”病毒会下载27个(不固定)恶意程式到被感染计算机中安装运行，这些病毒可以安装江民公司的KV2008去查杀，效果很不错。

· 超级巡警之机器狗病毒专杀v1.3：

本工具可检测并查杀机器狗病毒，可穿透机器狗所能穿透的还原系统来修复被感染的档案。本工具还具有免疫的功能，针对已知机器狗变种进行免疫，防止再次感染。另外，可使用命令行方式进行防毒，便于自动化操作，建议网咖等场所设定为开机自动防毒，减少重複作业。

下载地址：

http://download.pchome.net/utility/antivirus/trojan/detail-81071.html

http://update4.dswlab.com/RodogKiller1.3.zip

· 360安全卫士：

目前检测查杀机器狗病毒最有效的工具,机器狗本身下载的都是木马和后门攻击，360安全卫士毫无疑问是最好的查杀木马防御木马的最好软体。

下载地址：

http://www.360.cn

08机器狗变种一：注入"explorer.exe"进程

Explorer.exe机器狗-分析（逆向工程）

文章末尾所添加的机器狗、IGM、写穿还原的工具

样本脱壳

OD载入样本explorer.exe，

对GetModuleHandleA下断，参数为NULL时即为入口点处对此函式的调用，

退出CALL之后可以得到入口为 004016ED。

重新载入样本，对004016ED下记忆体写入断点，中断后StepOver一步，然后在004016ED

下断点，F9运行到入口，DUMP。DUMP之后不关闭OD，让样本处于挂起状态，使用ImportREC修复DUMP

出来的档案的导入表。

修复之后DUMP出来的档案用OD载入出错，使用PEDITOR的rebuilder功能重建PE之后即可用OD载入，说明

脱壳基本成功，但资源部分仍有问题,无法用Reshacker查看

pcihdd.sys的提取

OD载入样本explorer.exe，设定有新模组载入时中断，F9运行

当ADVAPI32.DLL载入时，对CreateServiceA下断点，F9运行

当CreateServiceA中断时，即可提取出pcihdd.sys

pcihdd.sys基本流程如下

1)检查IDT的09（NPX Segment Overrun）和0E（Page Fault ）处理程式的地址

如果09号中断处理程式存在，并且处理程式地址的高8位与0E处理程式高8位不同，则把

IDT中0E的高16位设为0。估计是检查0E是不是被HOOK了

我比较龌龊，看不懂这些操作的意思，这样不BSOD？请懂的兄弟跟帖告诉一声

2)通过搜寻地址来查找自己的载入地址

查找驱动档案的资源中的1000/1000,并複製到一个全局缓冲区中

3)创建了\Device\PhysicalHardDisk0及其符号连线\DosDevices\PhysicalHardDisk0

4)只对IRP_MJ_CREATE

IRP_MJ_CLOSE

IRP_MJ_DEVICE_CONTROL

作出回响

其中IRP_MJ_CREATE中会断开\Device\Harddisk0\DR0上附加的设备。这个操作会使磁碟过滤驱动、档案系统

驱动(OS提供的，

但一些防毒软体

也通过此渠道进行档案系统监控）及其上的档案系统过滤驱动（大多数档案访问控制和监控

都是这个层次的）无效

在IRP_MJ_CLOSE 中对恢复DR0上的附加

在IRP_MJ_DEVICE_CONTROL中对0xF0003C04作出回响，只是把2)中找到的资源数据解密后返回到应用程式。

解密密钥是通过应用程式传入的一个串（密钥种子？）查表后产生(KEY：0x3f702d98)

0xF0003C04的作用：

将用户态传入的整个代码体作为密钥种子对这个代码体进行类似于校验和的运算后得

到4位元组的解密KEY，然后使用此解密key将驱动自身携带的资源解密（仅仅是XOR），将解密

结果返回给用户态。

关于解除DR0上的附加设备：

这种操作应该会影响系统正常的档案系统操作，但是因为实际操作时此驱动被打开和关闭的的间隔很短，所以应该

不会有明显影响。

explorer.exe流程

1、释放资源中的pcihdd.sys并创建名为pcihdd的服务，启动服务

2、定位userinit.exe在硬碟中的位置。定位方法如下

1)通过FSCTL_GET_RETRIEVAL_POINTERS获取档案数据的分布信息

2)通过直接访问硬碟(\\.\PhysicalHardDisk0)的的MDR和

第一个分区的引导扇区得到分区参数(每簇扇区数),配合1)中得到的信息

来定位档案在硬碟上的绝对偏移量。

这里有个小BUG，扇区大小是使用固定的512位元组而不是从引导扇区中获取

3)通过对比ReadFile读取的档案数据和自己定位后直接

读取所得到的档案数据，确定定位是否正确

3、把整个代码体作为参数传递给pcihdd.sys,控制码0xF0003C04，并将pcihdd返回

的数据直接写入userinit.exe的第一簇

被修改后的userinit.exe

1）查询SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的Shell键值

2）创建Shell进程

3）等待网路连结，当网路连结畅通后，则从http://yu.8s7.net/cert.cer下载列表

4）对于列表中的档案每个档案，创建一个新执行绪下载并执行，执行绪计数加一（INC）

5）等待所有执行绪结束后（执行绪计数为0）结束进程。

对于执行绪计数的操作并不是原子操作，理论上多CPU情况下有小的机率出问题。

不过人家是写针对普通PC的病毒，多CPU不常见，也不需要稳定

文中所指的病毒就是一般说的新AV终结者

机器狗：http://www.esfast.net/downs/explorer.rar

IGM：http://www.esfast.net/downs/IGM.rar

写穿还原的工具：http://www.esfast.net/downs/SectorEditor.zip

目前防护办法可以选用新的第三代还原软体。

08机器狗变种二：注入"spoolsv.exe"进程

0、检查explorer.exe、spoolsv.exe是否有ntfs.dll模组，并查找“ssppoooollssvv”字元串（互斥体）

如果发现，则退出。

1、首先启动一个进程：spoolsv.exe，这是一个列印服务相关的进程。

即便是禁用系统的列印服务，它仍然可以由机器狗启动。

从任务管理器可以发现，这是一个当前用户级的许可权，很容易区别

2、临时资料夹和%SystemRoot%\system32\drivers\释放Ntfs.dll。

并尝试注入spoolsv.exe。测试时没有实现。

3、根据病毒体内的加密字元串解密：

10004180=userinit.10004180 (ASCII "NB0dDqN55bCYi1jO4jtulzpa2G3iC244")（ecx）

77C178C0 8B01 mov eax, dword ptr ds:[ecx]

77C178C2 BA FFFEFE7E mov edx, 7EFEFEFF

77C178C7 03D0 add edx, eax

77C178C9 83F0 FF xor eax, FFFFFFFF

77C178CC 33C2 xor eax, edx

77C178CE 83C1 04 add ecx, 4 \循环

77C178D1 A9 00010181 test eax, 81010100

每次取双位元组，与7EFEFEFF相加。（Edx）

再将双位元组内的数据和FFFFFFFF异或（Eax）

然后xor eax, edx

最后解密得：hXXp://a1.av.gs/tick.asp

从这个网站获得urlabcdown.txt。读取里面的内容：

http://down.malasc.cn/plmm.txt

最后下载27盗号木马，品种还是比较齐的，大话、梦幻、机战、奇蹟、传奇、QQ、QQgame等。

释放路径是：%SystemRoot%\system32\drivers。

4、载入驱动%SystemRoot%\system32\drivers\puid.sys：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000000

"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\

52,00,49,00,56,00,45,00,52,00,53,00,5c,00,70,00,75,00,69,00,64,00,2e,00,73,\

00,79,00,73,00,00,00

"DisplayName"="puid"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid\Security]

"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\

00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\

00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\

05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\

20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\

00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\

00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid\Enum]

"0"="Root\LEGACY_PUID\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

并释放iefjsdfas.txt，里面记录一些puid.sys信息。

如果iefjsdfas.txt里面的内容和实际的不符合，可能判断为puid.sys是免疫资料夹或无效档案。

这时候它可能会删除这个档案，再重新载入。

（未证实，我禁止了它的驱动载入）

5、记录一个进程快照，每隔30秒执行一次。如果发现以下字元串则结束：

antiarp.exe

360tray.exe

360Safe.exe

6、另外那个puid.sys可能会修改userinit.exe达到穿透还原的目的。

08机器狗变种三：注入"conime.exe"进程

conime.exe是输入法编辑器相关程式，早期用来传播igm病毒，现在也成为机器狗的载体。穿透后，成为一个木马下载器病毒。

08机器狗变种四：注入"ctfmon.exe"进程

找不到~输入法被的图示没有了，就是文字服务和输入语言->高级->关闭高级文字服务 那里打勾了~怎幺去也去不掉。

还找到了病毒下载其他病毒木马的地址列表档案：C:\WINDOWS\system32\tutility.txt

推荐使用金山毒霸2008(http://www1.duba2008.org.cn)防毒软体提供的机器狗专杀工具：http://bbs.duba.net/attachment.php?aid=16065774

及手动修複方法：http://bbs.duba.net/viewthread.php?tid=21843365&highlight=

防毒方法：

删除以下档案

可以使用icesword，wsyscheck，autoruns等软体

启动项目：

注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<><C:\WINDOWS\system32\mfdesy.dll>

<><C:\WINDOWS\system32\sgrefg.dll>

<><C:\WINDOWS\system32\zjydcx.dll>

<><C:\WINDOWS\system32\hhrdxd.dll>

<><C:\WINDOWS\system32\dhyszj.dll>

<><C:\WINDOWS\system32\fmcvxy.dll>

<><C:\WINDOWS\system32\jhfrxz.dll>

<><C:\WINDOWS\system32\jhrcar.dll>

1、==================================

驱动程式

[msskye / msskye][Running/Auto Start]

<system32\DRIVERS\msaclue.sys><N/A>

进程里的项目太多，直接写在处理方法里

下载XDELBOX

使用方法：

在XDELBOX中添加：

C:\WINDOWS\system32\ijougiemnaw.dll

C:\WINDOWS\system32\iqnauhc.dll

C:\WINDOWS\system32auhad.dll

C:\WINDOWS\system32\xhtd.dll

C:\WINDOWS\system32\uohsom.dll

C:\WINDOWS\system32\uyom.dll

C:\WINDOWS\system32\gnolnait.dll

C:\WINDOWS\system32\oadnew.dll

C:\WINDOWS\system32\auhad.dll

C:\WINDOWS\system32\hhrdxd.dll

C:\WINDOWS\system32\HDDGuard.dll

C:\WINDOWS\system32\jhrcar.dll

C:\WINDOWS\system32\jhfrxz.dll

C:\WINDOWS\system32\fmcvxy.dll

C:\WINDOWS\system32\dhyszj.dll

C:\WINDOWS\system32\zjydcx.dll

C:\WINDOWS\system32\sgrefg.dll

C:\WINDOWS\system32\mfdesy.dll

C:\WINDOWS\system32\DRIVERS\msaclue.sys

右键XDELBOX选“立即重启删除”

XDELBOX会自动重启删除以上病毒档案

再次重启时按F8进入安全模式

用SREng删除以上有问题的注册表项、驱动

-------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------

-------------------------------------------------------------------------------------------------------------------------------------------------

1.主病毒（mm.exe）运行后，释放如下档案：

程式代码

C:\WINDOWS\system32\drivers\pcihdd2.sys

C:\WINDOWS\system32\lssass.exe

注册服务DeepFree Update 指向C:\WINDOWS\system32\drivers\pcihdd2.sys 并载入这个驱动 这个驱动即为机器狗的驱动

之后会替换userinit.exe档案

2.之后mm.exe启动C:\WINDOWS\system32\lssass.exe 至此mm.exe（即机器狗）退出 大权交给lssass.exe

3.lssass.exe运行后，释放如下档案

C:\WINDOWS\system32\drivers\ati32srv.sys

注册服务ATI2HDDSRV 指向ati32srv.sys 并载入这个驱动 该驱动可以恢复系统的SSDT表 使得防毒软体的API hook完全失效...很多防毒软体的“主动防御”和“自我保护”功能也因此失效

4.调用cmd.exe把KvTrust.dll，UrlGuard.dll，antispy.dll，safemon.dll，ieprot.dll重命名为tmp%d.temp的格式

5.结束很多安全软体进程

程式代码

avp.com

avp.exe

runiep.exe

PFW.exe

FYFireWall.exe

rfwmain.exe

rfwsrv.exe

KAVPF.exe

KPFW32.exe

nod32kui.exe

nod32.exe

Navapsvc.exe

Navapw32.exe

avconsol.exe

webscanx.exe

NPFMntor.exe

vsstat.exe

KPfwSvc.exe

Ras.exe

RavMonD.exe

mmsk.exe

WoptiClean.exe

QQKav.exe

QQDoctor.exe

EGHOST.exe

360Safe.exe

iparmo.exe

adam.exe

IceSword.exe

360rpt.exe

360tray.exe

AgentSvr.exe

AppSvc32.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

FTCleanerShell.exe

HijackThis.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KaScrScn.SCR

KASMain.exe

KASTask.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KRepair.com

KsLoader.exe

KVCenter.kxp

KvDetect.exe

KvfwMcl.exe

KVMonXP.kxp

KVMonXP_1.kxp

kvol.exe

kvolself.exe

KvReport.kxp

KVScan.kxp

KVSrvXP.exe

KVStub.kxp

kvupload.exe

kvwsc.exe

KvXP.kxp

KvXP_1.kxp

KWatch.exe

KWatch9x.exe

KWatchX.exe

MagicSet.exe

mcconsol.exe

mmqczj.exe

KAV32.exe

nod32krn.exe

PFWLiveUpdate.exe

QHSET.exe

RavMonD.exe

RavStub.exe

RegClean.exe

rfwcfg.exe

RfwMain.exe

rfwsrv.exe

RsAgent.exe

Rsaupd.exe

safelive.exe

scan32.exe

shcfg32.exe

SmartUp.exe

SREng.EXE

symlcsvc.exe

SysSafe.exe

TrojanDetector.exe

Trojanwall.exe

TrojDie.kxp

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.exe

procexp.exe

OllyDBG.EXE

OllyICE.EXE

rfwstub.exe

RegTool.exe

rfwProxy.exe

6.映像劫持几乎上面所有安全软体指向“ntsd -d”

7.启动IE进行下载工作，首先会读取ht tp://xtx.×××.info/images/xin.txt比较

里面的VERSION信息 如果发现不是最新版本 则下载最新版本 具有自我更新功能

8.之后继续读取下面的下载信息 下载木马

目前下载的病毒地址为

程式代码

ht tp://2.×××.info/xm/aa1.exe~http://2.×××.info/xm/aa13.exeht tp://444.××××××××.com/xm/aa14.exe~http://444.××××××××.com/xm/aa26.exe

病毒木马植入完毕后的sreng日誌如下（本例中均假设系统装在C糟下）

启动项目

注册表

程式代码

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<WSockDrv32><C:\WINDOWS\dqyxis.exe> []

<upxdnd><C:\WINDOWS\upxdnd.exe> []

<LotusHlp><C:\WINDOWS\LotusHlp.exe> []

<C:\WINDOWS\PTSShell.exe> []

<SHAProc><C:\WINDOWS\SHAProc.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

<kfzmwcnyi><kfzmwcnyi.exe> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<><C:\WINDOWS\system32\JAA-JAA-1032.dll> []

<><C:\WINDOWS\system32\RAA_RAA_1002.dll> []

<><C:\WINDOWS\Fonts\gjcsdyc.dll> []

<><C:\WINDOWS\system32\QAB_QAB_1011.dll> []

<><C:\WINDOWS\system32\IIA-IIA-1030.dll> []

==================================

驱动程式

程式代码

[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]

<\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>

[DeepFree Update / DeepFree Update][Stopped/Manual Start]

<\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>

[msskye / msskye][Running/Auto Start]

<system32\drivers\msaclue.sys><N/A>

==================================

正在运行的进程

程式代码

[PID: 1452][C:\WINDOWS\system32\userinit.exe] [N/A, ]

[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]

[PID: 1472][C:\windows\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]

[C:\WINDOWS\system32\JAA-JAA-1032.dll] [N/A, ]

[C:\WINDOWS\system32\RAA_RAA_1002.dll] [N/A, ]

[C:\WINDOWS\Fonts\gjcsdyc.dll] [N/A, ]

[C:\WINDOWS\system32\QAB_QAB_1011.dll] [N/A, ]

[C:\WINDOWS\system32\IIA-IIA-1030.dll] [N/A, ]

[C:\WINDOWS\wlqirtuk.dll] [N/A, ]

[C:\WINDOWS\dcadmqws.dll] [N/A, ]

[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]

[C:\WINDOWS\system32\WSockDrv32.dll] [N/A, ]

[C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]

[C:\WINDOWS\system32\PTSShell.dll] [N/A, ]

[C:\WINDOWS\system32\SHAProc.dll] [N/A, ]

[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]

...

补充：netguy_updatefile.exe 在启动项里添加netguy_updatefile.exe程式，开机下病毒

机器狗木马病毒介绍：

机器狗木马病毒是用一个C语言编写的木马病毒。病毒运行后会删除系统目录下的userinit.exe，并建立一个包含病毒的userinit.exe，随系统每次启动时载入到系统中。此档案运行后会在系统的SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下添加一

系列反病毒软体和安全工具的键值，使这些软体和工具无法正常运行。另外病毒还会尝试注入IE进程通过网际网路下载病毒的更新，达到躲避查杀与侦测的目的。

机器狗病毒的判断方法：

方法1：打开C:\WINDOWS\system32资料夹 （或打开系统对应目录），找到userinit.exe、explorer.exe点击右键查看档案的属性，若在属性视窗中看不到档案的版本标籤则说明该档案已经被病毒替换系统已经染毒。

方法2：双击瑞星防毒软体的捷径，以及卡卡上网安全助手的捷径，没有任何反应（不是视窗打开后迅速关闭或报错崩溃）。

版本：V5.2版　大小：720KB

立即下载机器狗专杀

中毒症状：

如果360无法打开或者打开之后被关闭,系统变的非常慢,系统时间莫名其妙被更改.\"我的电脑\"的图示不正确,输入法无法打开，说明可能中了机器狗。

如果打开C:\\WINDOWS\\system32资料夹（如果您的系统不在c盘安装，请找到对应的目录），找到userinit.exe、explorer.exe、ctfmon.exe、conime.exe档案，点击右键查看属性，如果在属性视窗中看不到档案的版本标籤的话，说明已经中了机器狗。

机器狗木马病毒简介：

机器狗，是一种病毒下载器，它可以给用户的电脑下载大量的木马、病毒、恶意软体、外挂程式等。一旦中招，用户的电脑便随时可能感染任何木马、病毒，这些木马病毒会疯狂地盗用用户的隐私资料（如帐号密码、私密档案等），也会破坏作业系统，使用户的机器无法正常运行，它还可以通过内部网路传播、下载随身碟病毒和Arp攻击病毒，能引发整个网路的电脑全部自动重启。对于网咖而言，机器狗就是剑指网咖而来，针对所有的还原产品设计，其破坏力可能会很快会超过熊猫烧香。

机器狗工作原理：

机器狗工作原理：机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬碟驱动，提高自己的优先权接替还原卡或冰点的硬碟驱动，然后访问指定的网址，这些网址只要连线就会自动下载大量的病毒与恶意外挂程式。

通过防毒软体的方法防御机器狗病毒,可以说是治标不治本的.因为杀软升级,病毒也会升级,因此需要无休止的打补丁,对于

多电脑的计算机机房来说,无疑的带来了巨大的工作量.因此通过纯硬体的方式来解决机器狗病毒,是最根本的,从物理上解决机器狗病毒的方法.逻辑与物理的区别就在与此.蓝芯防毒卡的研发成功,对解决机器狗病毒,可以说是起到的巨大贡献,突破了原有的传统的保护卡技术,通过最基本的底层入手,硬碟数据线直接连到卡上,直接接管硬碟,让受到保护的分区的数据免受各种已知的病毒(包括机器狗病毒)或未知病毒的侵扰。

机器狗病毒也是一种软体而已，而我们是硬碟物理上的最后一道门，所以，不论病毒技术如何改进，要破坏数据都不得不通过这最后一道门。而这道门又在我们的掌握中，所以，未知的病毒只要还是软体就无法破坏。