目前网上流传一种叫做机器狗的病毒，此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。

顺便说一句，这个病毒从技术上来说，可以大胆的猜测应该是还原业内人士开发研制的，这种技术的应用极为少见，且如果精通这种技术的高手要做病毒不会用这种hook系统的磁盘设备栈的方式，完全可以有更强更好的方式达到彻底毁灭还原行业的方法；所以这个病毒应该是针对现在99％还原产品做的病毒，以达到不可告人的目标；在此我们强烈谴责那些毫无技术道德的卑鄙团队和个人，给还原和网吧行业带来极大的灾难和痛苦，真心希望以后不要再发生这样类似的事情了。

很遗憾的告诉大家，目前已知的还原软件和还原卡包括我们的还原也无法抵抗这种还原的穿透。我们已经测试过冰点全系列，还原精灵。各类还原卡，以及其他网吧行业软件自带的还原，都无法防止这种病毒的感染。根据我们对这个病毒源码的分析来看，网吧可能即将面临病毒、盗号的高峰；恐怕目前大家最好做好最坏的思想准备吧

此病毒特点如下：

文件名为explorer.exe，图标为一只机器狗，

 

只要中毒那么就会修改userinit.exe文件。而且这个文件的大小和时间都不会变，唯一改变的就是文件内容，所以如果想知道是不是穿透了必须对比感染前后的userinit.exe的文件内容，才能对比出来。并且此文件会实现彻底的隐蔽开机启动。也就是说

这病毒成功能成功穿透冰点，还原精灵，小哨兵等主流还原软件还原卡，危害极大
经过对样本的分析和测试，DF6.0、DF6.1、DF6.2及以前版本均被成功穿透，

======================

机器狗病毒来历，防御 病毒样本病毒分析资料大全

机器狗穿透冰点病毒临时解决方法.txt
想测试的朋友，请进论坛下载相应的病毒样本，出于安全考虑就不在此公开提供。
图片：病毒地址 中国网维病毒群 27693635 共享下

经过对样本的分析和测试，DF6.0、DF6.1、DF6.2及以前版本均被成功穿透，这是一个木马下载器，下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺，并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案：一是封IP，二是在c:/windows/system32/drivers下建立免疫文件： pcihdd.sys

刚写好的ROS脚本,要的自己加上去
以下为引用的内容：
/ ip firewall filter
add chain=forward c.8s7.net/cert.cer action=reject comment="DF6.0"
add chain=forward c.tomwg.com/mm/mm.jpg action=reject
add chain=forward c.tomwg.com/mm/wow.jpg action=reject
add chain=forward c.tomwg.com/mm/mh011.jpg action=reject
add chain=forward c.tomwg.com/mm/zt.jpg action=reject
add chain=forward c.tomwg.com/mm/wl.jpg action=reject
add chain=forward c.tomwg.com/mm/wd.jpg action=reject
add chain=forward c.tomwg.com/mm/tl.jpg action=reject
add chain=forward c.tomwg.com/mm/dh3.jpg action=reject
/ ip firewall filter
add chain=forward c.221.254.103 action=reject comment="DF6.0"
批处理注,此批处理最好是安装还原以后再用.)
以下为引用的内容： 
echo tinking > c:/windows/system32/drivers/pcihdd.sys
echo y|cacls c:/windows/system32/drivers/pcihdd.sys /c /d everyone
echo y|cacls c:/windows/system32/userinit.exe /c /d everyone
echo y|cacls c:/windows/system32/userinit.exe /c /p everyone:r

= ""B6,"?,B2,"",BB,"起,驱",B6,"
修改系统启动管理程序windows/system32/userinit.exe
并产生 pcihdd.sys驱动文件
测试：
文件没有被修改，这时重启电脑后，没有发现中毒现象。不死心，然后继续运行一遍机器狗，userinit.exe 仍然没有被改，接着连续双击机器狗4-5次这样，“奇迹”出现了：
此主题相关图片如下：
userinit.exe 的版本号不见了，这时重启电脑后，打开msconfig启动项，惨不忍睹啊：

这病毒成功能成功穿透冰点，还原精灵，小哨兵等主流还原软件还原卡，危害极大
来自：http://bbs.360safe.com/viewthrea ... page%3D1&page=1
自己在影子系统ShadowUser 2.5的保护下使用病毒，回到实盘，mcafee8.0就报警，这时我知道自己中招了－－－－－太强了。不过有mcafee,我还是可以正常使用的。
转贴：47385024
http://bbs.deepin.org/read.php?tid=290540
内容如下：

中上该病毒后会反向连接以下地址：

 

http//www.tomwg.com/mm/mm.jpg http//www.tomwg.com/mm/wow.jpg http:/www.tomwg.com/mm/mh011.jpg http//www.tomwg.com/mm/zt.jpg http//www.tomwg.com/mm/wl.jpg http:/www.tomwg.com/mm/wd.jpg http//www.tomwg.com/mm/tl.jpg http:/www.tomwg.com/mm/dh3.jpg http//www.tomwg.com/mm/my.jpg（已做修改）
测试了一下，用标准IDE通道装DF，运行病毒就起作用，userinit.exe文件直接就被替换了（芯片组有VIA和intel的）！再测试nForce的主板装了IDE硬盘的SW驱动后（nForce4芯片组），运行病毒样本不会马上中招，我刚才测试运行了第3次后，userinit.exe文件才被替换了.....可能病毒在nForce的IDE驱动下夺取硬盘的控制权要费劲一些，但是最后还是成功了....也就是说病毒不会在你运行之后立刻添加自启动项里的N多木马，而是在重起后，利用userinit.exe进程来从网络上下载木马的.....所以测试的时候大家要注意这一点...目前可以暂时封掉上图中的IP，但是不知道病毒会不会用域名来下载木马，那样只封这一个IP就没用了....

 

病毒只在第一次运行的时候释放出这个驱动文件，然后利用这个驱动获取硬盘的读写控制权，把木马下载工具植入到系统，这个驱动的使命就完成了。因为释放这个驱动的时候硬盘的读写权限还被控制在冰点手中，所以这个文件是不会被保存的，而且也没有保存的必要，不保存这个文件更有利于隐藏这个病毒的特性。

建议 把www.tomwg.com 和 yu.8s7.net 封了！

病毒来源：暂时只发现存在于热血江湖的私服5转补丁中。。。。
解决方法：
补丁下载：
用过那个免疫补丁的话，是连注册表一起防御的，也就是说在列表里的程序名是不能运行的，本列表里包含了QQ.exe 和 rundll32.exe ，这个如果禁止了，控制面板之类的和QQ就不能运行了
为了不影响使用，请使用以上补丁解除注册表限制
或者参照本批处理里的注册表位置，把那个主键的权限设置为“所有用户禁止访问”
推荐方式：
把setacl.exe文件和免疫补丁的文件放在一个目录里，使用VBS或者批处理方式，按循序启动 免疫补丁-----注册表解锁
注册表解锁方面的批处理内容已经写好了的
因为是纯绿色的，可以后期使用，通过开机批处理做好防御

请注意 ： 该病毒已经在大部分网吧流传了 请做维护的朋友们注意了
中毒症状：就是打开我的电脑，或者打开IE，在只开一个窗口的情况下，把打开的窗口关闭，桌面进程就会重启

经过对样本的分析和测试，DF6.0、DF6.1、DF6.2及以前版本三茗，小哨兵还原卡均被成功穿透，（此病毒对德天信山还原卡无效）这是一个木马下载器，下载器通过名为PCIHDD.SYS驱动文件进行与DF的硬盘控制权的争夺，并修改userinit.exe文件。实现彻底的隐蔽开机启动。目前的临时解决方案：一是封IP 58.221.254.103，二是在c:/windows/system32/drivers下建立免疫文件： pcihdd.sys
木马联网后的下载内容

本人处理方法：
1.本人用的是mcafee 8.0,先设置规则
2.用正常的文件替换userinit.exe ，替换msconfig.exe (用Ghostexp11浏览与编辑器从*.gho中提取文件)
3.删除pcihdd.sys驱动文件
4.用AVGS 7.5杀马

5.用windows 清理助手杀马
6.重启，查看userinit.exe属性。6.
木马联网后的下载内容（该数据由盟友StarsunYzL提供）：
http://yu.8s7.net/cert.cer(IP:60.191.124.236)
http://www.tomwg.com/mm/mm.jpg(IP:60.191.124.236)
http://www.tomwg.com/mm/wow.jpg(IP:60.191.124.236)
http://www.tomwg.com/mm/mh011.jpg(IP:60.191.124.236)
http://www.tomwg.com/mm/zt.jpg(IP:60.191.124.236)
http://www.tomwg.com/mm/wl.jpg(IP:60.191.124.236)
http://www.tomwg.com/mm/wd.jpg(IP:60.191.124.236)
http://www.tomwg.com/mm/tl.jpg(IP:60.191.124.236)
http://www.tomwg.com/mm/dh3.jpg(IP:60.191.124.236)
http://www.tomwg.com/mm/my.jpg(IP:60.191.124.236)
3,如果已经中毒的请在还原ghost文件后，手动在c:/windows/system32/drivers文件夹下创建pcihdd.sys,并把文件改成只读属性,或者修改这个文件的权限,删除所有用户.
4.域名也可以通过修改C:/WINDOWS/system32/drivers/etc/hosts文件实现，再通过石头工作室系统开机命令把文件复盖到客户机上。

 

From: http://prcer.com/blog/show-26-1.html