新版本“机器狗” 分析

对比“机器狗”一类新、老版本病毒的特征：19楼互动空间n)C%k%mv o}G
19楼互动空间y,_5\Hv}
|"s
1：新版本“机器狗”病毒采用VC++ 6.0编写，老版本“机器狗”病毒采用汇编编写。
FN d"d.z2Io j `02：新版本“机器狗”病毒采用UPX加壳，老版本“机器狗”病毒采用未知壳。
;p1{&c\ORuH9s03：新版本“机器狗”病毒驱动文件很小(1,536 字节)，老版本“机器狗”病毒驱动文件很大(6,768 字节)。
,bc-OZCI4\04：新版本“机器狗”病毒安装驱动后没有执行卸载删除操作，老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。19楼互动空间K:W5jQ;sLis'O,C
5：新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件，老版本“机器狗”病毒只针对系统“userinit.exe”文件。
)tG&z Q8}O06：新版本“机器狗”病毒没有对注册表进行操作，老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”项进行操作(感觉该操作没必要，因为重新启动系统后，“还原保护程序”系统会将其还原掉)。19楼互动空间DN:Q3m\+TDD
d&j
7：新版本“机器狗”病毒去到系统dllcache文件夹下调用真实系统文件运行，老版本“机器狗”病毒没有到系统dllcache文件夹下调用真实系统文件运行。19楼互动空间om"T-wJ R/iY&U5dl
8：新版本“机器狗”病毒采用的是控制台程序图标，老版本“机器狗”病毒采用的是黑色机器小狗图案的图标。
gb vdnZ0
gu%o.l.j6[.K0    大概列举出来了上边的几点，经过仔细分析它们的工作原理和编码风格后，可以推测出新版本“机器狗”病毒和老版本“机器狗”病毒决定不是出自一个人之手。19楼互动空间0pm_[X}u(m
19楼互动空间H-HlBemd
错误纠正：
@uK(A'FD6v;]C0
p)D"s O4Z+i/h(UN0    在此要纠正两个技术性的问题，网络上流传的一些关于分析“机器狗”病毒(新、老版本)的部分文章中，有两处表达错误的地方。
vlI%U)e?0
9G(h+`6Jt0第一处是：在那些分析文章中所提到“‘机器狗’病毒会破坏‘还原保护程序’系统，使其还原功能失效”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并没有破坏‘还原保护程序’系统，也没有使其还原功能失效。只是安装了一个病毒自己的磁盘过滤驱动去操作真实的磁盘I/O端口，向真实的磁盘中执行修改覆盖“C:\windows\explorer.exe”目标文件(文件名是病毒作者定义的，不固定、会变。但肯定的是，真实磁盘中是存在该文件的。并且病毒运行后，一般只会修改覆盖一个真实磁盘中的系统文件，再不会去破坏其它真实磁盘中的文件)操作。虽然‘机器狗’病毒运行后下载了很多其它恶意程序并安装运行，但重新启动计算机后，这些都会被‘还原保护程序’系统还原掉的，只是唯一那个被修改覆盖的真实磁盘文件没有被还原。如果发现重新启动计算机后，系统中依然有一大堆病毒在运行。其实，这些都是系统重新启动后，由那个被修改覆盖后的系统程序全部重新下载回来并安装运行的恶意程序。也就是说，每次重新启动计算机，都要重新下载安装一次所有的其它恶意程序”。19楼互动空间6u&y_#b]

8JH Xn
kN)zc0第二处是：在那些分析文章中所提到“‘机器狗’病毒会替换系统中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”或“‘机器狗’病毒会感染系统中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并不是替换了系统中的那些正常文件，而是针对那些正常文件在硬盘中所存放的真实物理地址进行以覆盖的方式去写入相应的恶意数据。大家可以找来正常的系统文件‘explorer.exe’、被病毒修改覆盖后的系统文件‘explorer.exe’和病毒释放出来的恶意程序‘tmp281.tmp’。对比它们内部数据代码后会发现，被病毒修改后的系统文件‘explorer.exe’的前部分数据代码和”病毒释放出来的恶意程序‘tmp281.tmp’文件的数据代码是完全相同的，而后边的数据代码依然是正常系统文件‘explorer.exe’后边的数据代码。”。19楼互动空间J:?yy&`@Z)f

:w*Il/f9C0简单的概念解释：
j:M#Qi;h0替换：把原目标程序的数据代码全部清除掉，用新程序的数据代码来代替以前的整个程序。这样，替换后的程序只有新程序的功能。19楼互动空间Gq|6G?&o(EE
感染：在不破坏原目标程序数据代码的前提下，向原目标程序的数据代码中追加上新程序的数据代码。这样，感染后的程序既有原目标程序的功能，又有新程序的功能。19楼互动空间 hR7UH;c@a
覆盖：从原目标程序数据代码的文件头0地址处开始，向后依次执行覆盖写入新程序的数据代码操作，我们这里只假设原目标程序文件远远大于新程序。这样，覆盖后的程序只执行新程序的功能，虽然原目标程序的数据代码还存在一部分，但由于没有被调用，所以不会执行。
? I8GY"Vs019楼互动空间!}4@aT [1b,S
总结：19楼互动空间$B:gQVa)c!y
    上边所指的“还原保护程序”为利用磁盘过滤驱动技术编写而成的系统还原保护程序，出名一点的软件有“冰点还原精灵”和“影子系统”等。也就是说，就算用户计算机安装了上边这样的“还原保护程序”，只要是中了“机器狗”一类利用穿“还原保护程序”技术的病毒，就算您重新启动计算机了，但被修改的那个文件“explorer.exe”也是依然不会被还原的，因为病毒的恶意代码已经覆盖进了这个真实的磁盘文件中。
+qalJ5\B^K019楼互动空间 K2M*{,P'?l
    目前的“机器狗”一类利用穿“还原保护程序”技术的病毒有一个致命的软肋，那就是他们所覆盖的真实系统文件在重新启动计算机后一定要自启动运行，不然就失去病毒存在的意义了。现今的“机器狗”病毒都只是能够穿透磁盘保护的，并穿透不了注册表(无法在注册表中保存添加或修改后的数据信息)，这个就是它最大的缺陷。其实，注册表数据信息也是以文件的形式保存在磁盘中的，下一代“机器狗”病毒可能会实现穿透注册表的功能，等那个时候，可能就很难防范了。这还是不算什么的，下下一代的“机器狗”病毒可能会利用自己的磁盘过滤驱动去感染真实硬盘下的PE文件，相当的恐怖啊！！19楼互动空间e B i]4T2J-]:Oe
19楼互动空间/zp&H7?;n5z*]@{
    一旦感染了该版本的“机器狗”病毒，它不仅仅可以穿透“还原保护程序”，真实系统也一样会中毒。因为病毒修改覆盖了真实的系统文件“C:\windows\explorer.exe”。所以每次重新启动计算机后，被修改覆盖的系统程序“C:\windows\explorer.exe”它都会在被感染计算机的后台连接网络下载骇客事先定义好的下载列表中的全部恶意程序并自动调用运行。那么如果中该病毒的用户比较多，几万台计算机同时启动，骇客的下载服务器会挂掉吗？呵呵~！！
2s` I~\i00、检查explorer.exe、spoolsv.exe是否有ntfs.dll模块，并查找“ssppoooollssvv”字符串（互斥体）19楼互动空间Ae"O%?D?
Q
如果发现，则退出。
-Uy0~0I!QD01、首先启动一个进程：spoolsv.exe，这是一个打印服务相关的进程。19楼互动空间@~W.K+[,bN @EQA
即便是禁用系统的打印服务，它仍然可以由机器狗启动。19楼互动空间4p#? mB)F~/No"m
从任务管理器可以发现，这是一个当前用户级的权限，很容易区别
^2NQ9i+NIP_G02、临时文件夹和%SystemRoot%\system32\drivers\释放Ntfs.dll。19楼互动空间"B\3e KJz~
并尝试注入spoolsv.exe。测试时没有实现。
4D6J4T"Y J8EB03、根据病毒体内的加密字符串解密：19楼互动空间P4Lc#mx ?)R/?uR8ua'd
10004180=userinit.10004180 (ASCII "NB0dDqN55bCYi1jO4jtulzpa2G3iC244")（ecx）
)Cp Pr$N]z(vb077C178C0    8B01            mov     eax, dword ptr ds:[ecx]
,mR~#pg$Fz&}Jd*H077C178C2    BA FFFEFE7E     mov     edx, 7EFEFEFF
ABk C3h
f4Wr077C178C7    03D0            add     edx, eax19楼互动空间/@:qvj&O"\n*B
77C178C9    83F0 FF         xor     eax, FFFFFFFF19楼互动空间 f/y/T M{v8JY
77C178CC    33C2            xor     eax, edx19楼互动空间f5YVu Wu@$N'I
77C178CE    83C1 04         add     ecx, 4 \\循环19楼互动空间$R}$b3z+TW
77C178D1    A9 00010181     test    eax, 81010100
-B(}|5D/x0每次取双字节，与7EFEFEFF相加。（Edx）
`?om
tGSNR2qa0再将双字节内的数据和FFFFFFFF异或（Eax）19楼互动空间o1k`sx*L Lr2[8|
然后xor     eax, edx
3HLy+`y,H0最后解密得：hXXp://a1.av.gs/tick.asp19楼互动空间+HU*cm)]
Z.zq
从这个网站获得urlabcdown.txt。读取里面的内容：19楼互动空间D$e1E,{5ia2w4e8g
http://down.malasc.cn/plmm.txt
gzg1cj8]4M g0最后下载27盗号木马，品种还是比较齐的，大话、梦幻、机战、奇迹、传奇、QQ、QQgame等。
1o0_#V.Z+K0释放路径是：%SystemRoot%\system32\drivers。
(mINK*p04、加载驱动%SystemRoot%\system32\drivers\puid.sys：
hsVT@@-J0[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid]19楼互动空间P$Y'A$p
M3Fe)`
"Type"=dword:0000000119楼互动空间h
c HXAM
"Start"=dword:00000003
MQF`(w t"c&u"L;l0"ErrorControl"=dword:00000000
#`.Q7Hu~5Cu$h#N0"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
%o+w l~^n1U0`i052,00,49,00,56,00,45,00,52,00,53,00,5c,00,70,00,75,00,69,00,64,00,2e,00,73,\19楼互动空间/F&\*U |Ws#R d x
00,79,00,73,00,00,00
PZ"?0~4g0"DisplayName"="puid"19楼互动空间o0sw(Q#Cx
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid\Security]
$O3V&|C
H
c3g8{0"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\19楼互动空间0M)F$otzH
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
0S*a;Q r2|rg000,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\19楼互动空间8Xb:w5w4? ?#D])X[-w!_-^
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
S(ln1QT^^x"EH;T020,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\19楼互动空间*q}6u1^*\%g^
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
/~0soR6ux000,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,0019楼互动空间\+[uOv`)]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\puid\Enum]
)N\.ip*}!D8O#]N%t0"0"="Root\\LEGACY_PUID\\0000"19楼互动空间)`(S0q:](Ir%X
"Count"=dword:0000000119楼互动空间wk-J%s7G0h
"NextInstance"=dword:0000000119楼互动空间2P't_6ya&GGrp.Z
并释放iefjsdfas.txt，里面记录一些puid.sys信息。
P-Fe&})g!P
{"y#F0如果iefjsdfas.txt里面的内容和实际的不符合，可能判断为puid.sys是免疫文件夹或无效文件。
B-_!aW;P^-gvJ0这时候它可能会删除这个文件，再重新加载。
GG^L'}IY0（未证实，我禁止了它的驱动加载）
xoCOu~2}05、记录一个进程快照，每隔30秒执行一次。如果发现以下字符串则结束：
k!trgZ quoFD0antiarp.exe19楼互动空间
W&eKD d`
360tray.exe19楼互动空间5Z;r}u6{A
360Safe.exe
qsc jR_ k*sG06、另外那个puid.sys可能会修改userinit.exe达到穿透还原的目的。
~4i@&AOw[q0问题：1、这个最新的机器狗变种，是否与你12月19日发的病毒播报中的机器狗变种是同一个病毒？19楼互动空间1Q U0Igp1wS#^
回答：不是同一个病毒，只是工作原理十分的相似而已。经过仔细分析它们的工作原理和编码风格后，可以推测出新版本“机器狗”病毒和老版本“机器狗”病毒决定不是出自一个人之手。19楼互动空间r*S4R8rUR"V6G

9Hf3ND'Hf$h.^0j0L|6rR&H0
-D
p5?mr0问题：2、这个最新的机器狗变种是否功能更强大？强大在那儿？与以往机器狗病毒的不同之处在哪？
Z0g!|CRPJ0回答：应该是相对的强大了些。对比“机器狗”一类新、老版本病毒的部分特征如下：
i(U
nuN Q0Hf2|0(1)：新版本“机器狗”病毒采用VC++ 6.0编写，老版本“机器狗”病毒采用汇编编写。
0N\:pr,w6X0(2)：新版本“机器狗”病毒采用UPX加壳，老版本“机器狗”病毒采用未知壳。
|8r[:A%t3^0(3)：新版本“机器狗”病毒驱动文件很小(1,536 字节)，老版本“机器狗”病毒驱动文件很大(6,768 字节)。19楼互动空间/mF8I^ lo0g
(4)：新版本“机器狗”病毒安装驱动后没有执行卸载删除操作，老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。19楼互动空间V+g(}$| {Sx2k
(5)：新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件，老版本“机器狗”病毒只针对系统“userinit.exe”文件。
Z3}M4R3F#`[n0(6)：新版本“机器狗”病毒没有对注册表进行操作，老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”项进行操作(感觉该操作没必要，因为重新启动系统后，“还原保护程序”系统会将其还原掉)。19楼互动空间pf$uD,Gs6Q!M
(7)：新版本“机器狗”病毒去到系统dllcache文件夹下调用真实系统文件运行，老版本“机器狗”病毒没有到系统dllcache文件夹下调用真实系统文件运行。
z#F6K^@4p9oa0(8)：新版本“机器狗”病毒采用的是控制台程序图标，老版本“机器狗”病毒采用的是黑色机器小狗图案的图标。19楼互动空间w$["{7U v,O

%Lx [
Fji@^0问题：3、机器狗病毒对网吧的影响很大，对个人用户的影响有多少？19楼互动空间3E3d"b-l}4ox
回答：个人用户的影响与网吧的影响是同样大的。因为不管计算机系统是否安装“还原保护系统”程序，都会同样下载非常多的(目前是下载27个恶意程序)网络游戏盗号木马等恶意程序进行安装运行，从而给被感染计算机用户带去一定的损失。如果“用户计算机硬件配置比较低”或者“存在所下载的多个恶意程序中出现相互不兼容现象”的话，会导致用户计算机系统崩溃掉无法启动运行。19楼互动空间mN8ic/n'V
\,l

R)noW;@:y$Pu0手动杀毒方法：
RSB'LV^E0
Y\ f C
T%EH'q_U01：结束掉被病毒修改覆盖后的“C:\windows\explorer.exe”程序进程，删除该程序文件。
\q!A8v0P02：也许系统会自动还原回来一个正常的“explorer.exe”桌面程序，如果没有还原的话，我们可以手动把“C:\windows\system32\dllcache\”下的“explorer.exe”文件拷贝到“C:\windows\”下。
~)j"I1NmX:f03：手动卸载掉病毒恶意驱动程序“phy.sys”文件。可以在注册表中找到病毒恶意驱动程序“phy.sys”的启动关联位置然后删除，接着再删除掉“C:\windows\system32\DRIVERS\phy.sys”文件。 我实际试过N次这种方法，针对该病毒决定好使。
-Oad]&G m8M#k04：重新启动计算机后，一切就都会变为正常了。但是该新版的“机器狗”病毒会下载27个(不固定)恶意程序到被感染计算机中安装运行，这些病毒可以查杀，效果很不错。