网吧恶梦已经到来！穿透99％还原保护产品的“机器狗”病毒问世！

目前网上流传一种叫做机器狗的病毒，此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。       顺便说一句，这个病毒从技术上来说，可以大胆的猜测应该是还原业内人士开发研制的，这种技术的应用极为少见，且如果精通这种技术的高手要做病毒不会用这种hook系统的磁盘设备栈的方式，完全可以有更强更好的方式达到彻底毁灭还原行业的方法；所以这个病毒应该是针对现在99％还原产品做的病毒，以达到不可告人的目标；在此我们强烈谴责那些毫无技术道德的卑鄙团队和个人，给还原和网吧行业带来极大的灾难和痛苦，真心希望以后不要再发生这样类似的事情了。       很遗憾的告诉大家，目前已知的还原软件和还原卡包括我们的还原也无法抵抗这种还原的穿透。我们已经测试过冰点全系列，还原精灵。各类还原卡，以及其他网吧行业软件自带的还原，都无法防止这种病毒的感染。根据我们对这个病毒源码的分析来看，网吧可能即将面临病毒、盗号的高峰；恐怕目前大家最好做好最坏的思想准备吧，不要报任何侥幸心理，目前我们没有发现任何还原产品或者技术可以对付这个病毒。准备迎接网吧的恶梦到来，同时希望大家能在这个专贴发表自己的感想和解决方法，希望能集思广益一起解决这个垃圾病毒。      此病毒特点如下：文件名为explorer.exe，图标为一只机器狗，<IMG src="http://www.sq01.cn/bbs/UploadFile/2007-11/2007112711216.gif"> 只要中毒那么就会修改userinit.exe文件。而且这个文件的大小和时间都不会变，唯一改变的就是文件内容，所以如果想知道是不是穿透了必须对比感染前后的userinit.exe的文件内容，才能对比出来。并且此文件会实现彻底的隐蔽开机启动。也就是说病毒不会在你运行之后立刻添加自启动项里的N多木马，而是在重起后，利用userinit.exe进程来从网络上下载木马。目前的临时解决方案：一是在路由上封IP：ROS脚本,要的自己加上去 / ip firewall filter add chain=forward content=yu.8s7.net/cert.cer action=reject comment="DF6.0" add chain=forward content=www.tomwg.com/mm/mm.jpg action=reject add chain=forward content=www.tomwg.com/mm/wow.jpg action=reject add chain=forward content=www.tomwg.com/mm/mh011.jpg action=reject add chain=forward content=www.tomwg.com/mm/zt.jpg action=reject add chain=forward content=www.tomwg.com/mm/wl.jpg action=reject add chain=forward content=www.tomwg.com/mm/wd.jpg action=reject add chain=forward content=www.tomwg.com/mm/tl.jpg action=reject add chain=forward content=www.tomwg.com/mm/dh3.jpg action=reject二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys ，今天最新的免疫列表已经加入这个文件的免疫。3、把他要修改的文件在做母盘的时候，就加壳并替换。我们相信以上的方法都无法彻底防御此类病毒，个别客户如果下载了样本，运行后没发现中毒，也不用侥幸，因为这个病毒目前技术还不完善，可能存在硬件兼容问题，在一些芯片组上无法穿透，你可以换个环境或者多运行机器相信还是会发现我们说的现象的！但是我们相信病毒作者肯定会完善和处理大家想出来的临时解决方法。所以想要彻底解决这个病毒，就得大家一起想办法才能彻底解决。 ［此帖子已被灰儿在 2007-11-27 11:05:20 编辑过］

灰儿 · 发表于 2007-11-27 11:06:11

终于找到了机器狗的作者了.大家说到眼下的这个机器狗。看了很多贴都说自动下载　<A target=_blank href="http://www.tomwg.com/" target=_blank>www.tomwg.com</A> 这个站的病毒文件，我通过<A target=_blank href="http://www.baidu.com/s?lm=0&si=&rn=10&tn=19820726_pg&ie=gb2312&ct=0&wd=TOMWG&pn=20&cl=3" target=_blank>百度 tomwg </A>,请大家看到百度第二页，此人经常活动于<A target=_blank href="http://www.domain.cn/" target=_blank>www.domain.cn</A> 这个<A target=_blank href="http://cache.baidu.com/c?word=tomwg&url=http%3A//www%2Edomain%2Ecn/club/viewthread%2Ephp%3Ftid%3D241651&p=8b2a954f84891eef08e2920c160c&user=baidu" target=_blank>域名交易网</A>站，注册了些域名在出售。当我查到此人在domain注册时常用的会员ＩＤ为<A target=_blank href="http://www.domain.cn/club/viewpro.php?uid=40506&PHPSESSID=6222d0f045d177ccfb0ea2492d21573f" target=_blank>mpj888</A> 时，我又百度了一下　mpj888　发现了更多关于此人的信息，看完百度所查的MPJ888的第一页和第二页时可以发现，此人是个非常牛Ｂ的程序员，经常活动于csdn 和　站长交易的网站，曾在此网站<A target=_blank href="http://cache.baidu.com/c?word=mpj%3B888&url=http%3A//bbs%2E51217%2Ecom/archiver/tid%2D4529%2Ehtml&p=8734c54ad1c502f21ba5c7710d1c92&user=baidu" target=_blank>http://cache.baidu.com/c?word=mpj%3B888&url=http%3A//bbs%2E51217%2Ecom/archiver/tid%2D4529%2Ehtml&p=8734c54ad1c502f21ba5c7710d1c92&user=baidu</A><A target=_blank href="http://bbs.17627.com/dispbbs.asp?boardid=18&id=6740&star=1&page=1" target=_blank>http://bbs.17627.com/dispbbs.asp?boardid=18&id=6740&star=1&page=1</A><A target=_blank href="http://community.csdn.net/Expert/topic/5275/5275453.xml?temp=6.278628E-02" target=_blank>http://community.csdn.net/Expert/topic/5275/5275453.xml?temp=6.278628E-02</A>发贴交易盗号的ＷＯＷ和其它游戏帐号，曾发贴招delphi Ｃ+等程序员，并以月薪10万的聘薪，可以断定。此人一定是个职业的木马盗号者tel: 86 010 62644957 fax: 86 010 62644957 mpj0@eyou.com 这个是作者的电话，联系QQ:3575739 这是他的ＱＱ