机器狗|机器狗病毒+绿茶机器狗免疫补丁+微软补丁下载 绿色版

穿透冰点5.7--6.2机器狗病毒解决办法

 

机器狗|机器狗病毒+绿茶机器狗免疫补丁+微软补丁下载 绿色版  <<< 点击下载

http://www.anwang.cn/soft/2/23/2007/200709282994.html

http://www.anwang.cn/soft/softdown.asp?softid=2994

安徽下载
HTTP下载
迅雷高速下载
快车高速下载

 

刚才反复测试了几个版本，DF的以上版本全部被穿.....

彻底疯狂ing....目前只能在路由上封掉几个网站....期待高手的出现！

样本发上来了....说不能穿透的自己先测试下

全盘保护，系统完全开放，没任何限制！现在不知道为什么有的系统不穿~

运行后直接重起，看启动项就知道了

为避免有人恶意破坏 现取消了病毒样本

此主题相关图片如下：

病毒如上图 有人也把它称机器狗病毒...

此主题相关图片如下：

为了便于大家了解和查询，我把相关的测试都说一下：

刚才有朋友问是不是关于标准IDE控制器的问题，我刚才测试了一下，用标准IDE通道装DF，运行病毒就起作用，userinit.exe文件直接就被替换了（芯片组有VIA和intel的）！再测试nForce的主板装了IDE硬盘的SW驱动后（nForce4芯片组），运行病毒样本不会马上中招，我刚才测试运行了第3次后，userinit.exe文件才被替换了.....可能病毒在nForce的IDE驱动下夺取硬盘的控制权要费劲一些，但是最后还是成功了....这是个不幸的消息.....重起，因为我在家测试，ADSL上网，拨号后防火墙立刻提示userinit.exe程序访问网络....如图：

此主题相关图片如下：

也就是说病毒不会在你运行之后立刻添加自启动项里的N多木马，而是在重起后，利用userinit.exe进程来从网络上下载木马的.....所以测试的时候大家要注意这一点...目前可以暂时封掉上图中的IP，但是不知道病毒会不会用域名来下载木马，那样只封这一个IP就没用了....

还有的朋友说硬盘还原卡也被穿...由于我没条件测试，所以那些暂时无法给大家一个确切的回答！

还原卡是一种系统安全产品，它可以使电脑在遭到破坏时，将系统还原到初始的健康状态。

　　还原卡是一种系统安全产品，它可以使电脑在遭到破坏时，将系统还原到初始的健康状态。这种破坏包括无意的删除系统文件，有意的破解以及各种病毒和木马的攻击。所以，还原卡常常在网吧和学校这些系统容易被破坏的地方使用。

　　日前，一种可以穿透还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。

　　大家都知道，黑客行为的背后，隐藏着巨大的经济利益，时下网上交易比较看好的是“肉鸡”业务。所谓肉鸡，就是黑客们借壳一些免费电影网站，植入恶意软件，一旦有网民浏览该网页，木马病毒就秘密潜入，将网民电脑控制，黑客们就可以如同使用自己的计算机一样，去浏览网民的电脑，窃取他们的QQ号、游戏装备等。

　　而网吧、学校机房里的公用电脑大多安装了还原软件或还原卡，木马病毒就无法种植到网民的电脑，此次爆发的机器狗病毒不同之处在于，可以穿透还原卡对电脑系统的保护，抢占还原卡对硬盘的控制权，从而达到窃取帐号和游戏装备的目的。

　　机器狗病毒爆发后，众多还原卡厂家措手不及，网络论坛不断有网管和网民抱怨遭到机器狗病毒攻击，包括小哨兵、三茗等还原卡以及使用较普遍的冰点还原软件都未幸免。记者采访了中科蓝光公司的开发人员，据介绍，机器狗病毒非常容易取得对硬盘的控制权，如还原卡没有对IDE通道这方面保护过，那么一些程序很容易通过IDE通道的保护漏洞进行功击，抢夺硬盘控制权，因此还原卡也被成功绕过。中科蓝光公司由于采用了先进的IDE通道硬盘保护技术，拒绝其它程序抢占访问，所以本次病毒爆发没有对蓝光硬盘保护卡起到破坏作用。

　　看来，国内还原卡厂家必须做好内功，加大自主研发投入，才能应对网络上愈演愈烈的病毒和木马，让网民安心的使用电脑!

搞不懂为啥病毒作者都用动物的名字来给病毒取名呢，今年熊猫烧的香刚刚灭，机器狗又出来疯咬人了，不过这次下手的是网吧电脑。

　　日前，一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。

　　通过对病毒样本进行分析，我们研判此病毒极有可能为硬盘保护业内或者网吧业内的技术人员所开发，并主要针对网吧用户。而且日前传播的病毒版本仍然为带有调试信息的工程测试版本，更成熟的版本相信会更具备破坏力。

　　现在网吧经常使用的硬盘还原软件，硬件还原卡，冰点还原的5~6.3各版本、小哨兵还原卡均已被机器狗病毒穿透。然后病毒利用利用userinit.exe进程来从网络上下载木马。

　　目前还没发布有效的解决方案。

现在网吧里泛滥igm.exe,它跟九月份的机器狗病毒一样，下面的文章也许对大家有益。

　　前几天给一家网吧装系统回来,打开电脑就发现了这个机器狗病毒,试了一下,我的冰点6.3单机版穿了,心里一凉,好厉害的东西,不过太累了,还是先睡觉.

　　第二天就发现有人把免疫的补丁做出来了,呵呵,试了一下,还蛮实用的,要谢谢那些做补丁的人.

　　同时也想,如果以后出了变种,然后像熊猫一样到处传播怎么办?

　　软还原(冰点类,网维大师类),硬还原(还原卡类),为网吧行业做了很大的贡献,也是病毒作者们最头痛的事,他们一定会利用这种原理大量生产病毒,危害网吧行业.

　　它们为我们保护了系统,那我们拿什么保护他们呢?不让其它的程序和他抢硬盘控制权就行了,但要怎么实现呢?咖啡的策略,和主动防御系统都能做到,但在网吧都不太实用.

　　于是想到以前在公司做网管时的做法,于是做了一下实验,呵呵,自己的设想实现了.

　　其实保护硬盘控制权的事,比乐盖羡最就给我们做了,现在网吧都在用windows2000/XP/2003,现在绝大部分网吧都是用系统管理员登录,那么这个用户对系统有最大的控制权(好多网吧直接用administrator登录),那么所有的病毒都能用这个权限对系统进行修改,问题就在这里,如果不能管理员登录行不行?

　　windows系统本身就有好多级别的用户,见图(在这里就不用扫盲了),各个级别的用户有着各个级别的权限

　　最低的是guests组的用户,高一些的是users组的,再高就是power users组,最高就是我们网吧一般登录的管理员组,既administrators组

　　我新建一个用户,把它放最第二高级别,power users组,去运行病毒,结果不能进行(不要想到我是做了免疫再去做这个,不信的你们自己建一个试一下),那么只要把网吧自动登录的用户,即上网的人要用到的用户降一级,那么这种类弄的病毒对冰点,网维大师,还原卡都无效,因为他没有权限去和冰点抢控制权,那么当然就不能穿透了.

　　网吧都习惯了用管理员组的用户登录,因为这样方便,本来是不用的,但现在出了这种病毒,又没有比较好的防御方法,我这种方法也能试一下.

　　现在的问题就是如何让标准用户组的成员在网吧平台上运用自如.

　　我问过网维大师的在线技术,网维大师现在的版本在标准用户或受限用户组登录的时候是无法导入注册表信息的,因为没有权限,那么只有在开始的时候把这些权限放给标准用户,一般是注册表的 HLMsoftware这一项要通过管理员给予权限,但要把给予标准用户的 microsoft 这项的权限给恢复,不让它们修改.

　　希望顺网能尽快推出运行于system用户的服务级客户端,那么就不存在上面的设定了.

　　其它的游戏菜单的暂时不知道,不过相信一定都能解决.

　　在标准用户和受限用户登录的时候是没有办法修改网络设置的,这个时候要把它加入Network Configuration Operators组,重启或注销后就有权限修改了.

　　当然,这只是我的想法,希望众多高手能指教,或大家共同来完成这些设定,还有windows文件夹里面的某些文件的权限也要出可写权限给标准用户.

　　最后只要系统没有漏洞,病毒没有办法拿到system权限或管理员权限,那么这种病毒运都不能运行.

　　我在网盟的ID为步步高0713,在顺网的ID为黄冈顺风网络,在深度的ID为步步高,

　　QQ:4412564

　　希望能和大写一起研究.谢谢大家的收看!

　　

　　

　　

　　

　　

 

近日，江民反病毒中心率先截获的“机器狗”病毒在互联网加速传播，很多网吧用户通过邮件、论坛、电话等多种方式向江民反病毒中心求助。由于“机器狗”病毒是一种可以穿透冰点、还原卡等电脑保护系统的木马病毒，并可以借助ARP病毒在局域网中传播，还会下载20多款恶性网游木马，盗取游戏玩家的帐号和密码，危害十分巨大。同时，该病毒还可以借助U盘进行传播，这样就大大增加了病毒传播的范围，即使连个人电脑用户也很有可能被感染。

   江民反病毒专家介绍道，“机器狗”病毒由于采用了更为先进的传播方式，其威胁甚至超越了去年的“熊猫烧香”。该病毒会首先通过网页木马或U盘传播方式入侵到电脑中，然后在局域网中通过ARP欺骗等方式进一步的传播。江民反病毒专家预计，该病毒将会持续出现变种，威胁不可小视，因此不论是网吧用户或是个人用户，都需要及时采用防范措施，防止病毒的进一步入侵。

   由于该病毒多发生于网吧和企业，因此江民科技反病毒专家建议采取以下安全策略来加固自己的网络：
   1、由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播，因此做好ARP欺骗的防
范工作十分必要。建议有条件的网吧和企业，采用双向绑定策略，在交换机或路由器上绑定好全网的IP-MAC地址，在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒，该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。
如果不具备双向绑定的条件，可以采用划分VLAN 的方法，来隔离网络的不同区域，这样可以把ARP病毒的危害降低到最小。

   2、更新好系统漏洞补丁，尤其是网页木马常用漏洞：MS06-014和MS07-017。目前根
   据江民科技反病毒中心恶意网址跟踪结果来看，发现绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的，因此打好补丁十分关键。
 MS06-014 中文版系统补丁下载地址：
http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx
MS06-014 英文版系统补丁下载地址：
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址：
http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx
MS07-017 英文版系统补丁下载地址：
http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx

   3、注意应用软件版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网
页木马的方式入侵到电脑中，还利用时下最为流行的应用软件漏洞进行挂马传播，例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛，这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本，一定要使用从官方网站下载的最新版本的软件，这点十分重要，不要使用老版本，因为老版本还有很多漏洞。

   4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要，由于“机器
狗”病毒还会利用U盘传播，因此如果U盘中含有此病毒时，如果直接双击打开U盘，就会激活病毒，从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。
   关闭自动播放功能方法如下：在“开始”菜单的“运行”框中运行“gpedit. msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能，打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，保护计算机系统安全。

   5、及时升级KV杀毒软件病毒库，上网时确保打开“网页监控”、“邮件监控”功能。
建议企业级用户和网吧部署KV网络版杀毒软件，KV网络版具有全网统一升级，统一杀毒功能，可以快速彻底清除网络中的ARP病毒和“机器狗”病毒及其变种。

 

关于近期网吧被机器狗病毒骚扰的问题，这里提供一些补助方案，本帖紧紧是对使用英保通的网吧一些建议，并不是解决机器狗的完整方案，只对当前机器狗病毒有作用，如以后病毒变种后就无法预知，请自行选择是否使用。

　　如何判断电脑是否有中机器狗病毒，鼠标右键 c:windowssystem32userinit.exe 文件，查看属性，有版本的就是正常文件，该机没有中机器狗病毒；如果没有版本的就是机器狗病毒，该机已中机器狗病毒，请尽快处理

　　

　　

　　正常的userinit.exe(如上图)

　　

　　

　　中了机器狗的userinit.exe(如上图)

　　实时了解客户机状态，是否有中机器狗病毒：

　　给每台客户机电脑增加一个开机或关机批处理（二选其一既可），让下面这个批处理每次开机后自动运行，该批处理1秒内完成，不影响客户机系统。举例方法

　　左下角开始菜单》运行》输入‘gpedit.msc’打开策略组》用户配置》windows设置》脚本》登录或注销（二选其一既可）双击后出现新窗口》增加》输入批处理的路径，如c:jqg.bat后确定既可。如下图：

　　

　　

　　创建jqg.bat批处理文件（这里有不会创建的吗？）在批处理文件内写入下面内容：（可直接复制）

　　for /f "tokens=16 delims=. " %%a in ( 'ipconfig/all^ find /i "IP Address "') do set BDZJ=%%a

　　FC /B %SystemRoot%system32userinit.exe 192.168.1.6$userinit.exe >nul

　　IF "%errorlevel% "== "1 " echo 注意啦: 这台机子在 %Date:~0,10%号%Time:~0,2%时%Time:~3,2%分%Time:~6,2%秒 开机检查到可能中了机器狗或IGM病毒，快去FUCK IT！> >192.168.1.6jqg$ZJ%BDZJ%.txt

　　绿色部分为服务器端一个共享目录下的正常userinit.exe文件，只需要开启只读权限，请改为你自己的路径。

　　红色部分为服务器端共享的一个目录，需要开启写权限，请改为你自己的路径。ZJ%BDZJ%.txt不用改动。

　　在服务器端2.168.1.6$，从客户机的xp中复制一个正常的userinit.exe放在里面。

　　好了，这样你只需要空闲时查看服务端的192.168.1.6jqg$目录下有没有文件，没有文件就表示你的所有客户机没有中机器狗病毒；如果发现有文件，（排除人为捣乱搞笑）就是该客户机已经中病毒了，批处理会自动生成中病毒电脑的IP最后3位来让你判断是哪一台中了机器狗。

　　提前创建病毒驱动，中了机器狗后机器狗也无法运行下载其他病毒：

　　在c:windowssystem32drivers 下提前创建一个名为pcihdd.sys的空文件夹（有不会创建的吗？），鼠标右键pcihdd.sys》属性》安全》高级》取消从父项继承那些……前面的钩》删除》应用》是》确定后既可。如图：

　　

　　

　　如果文件夹属性里没有安全的，请看这里：该方法只支持ntfs为系统盘的分区，不支持fat32。下图