|
|
转自 深度论坛 mouse_751211 作品
经过几个晚上的反复试验,我终于在昨晚找到了可以说是目前最新最有效又最简单的防止机器狗穿透还原的方法!原理如下:
众所周知,机器狗或IGM变种能成功穿透还原,并狡猾地利用了userinit.exe这个系统必须的登录文件,将其更改成木马下载器,从而……我们防病毒方法一般都是被动地免疫了事,但对这个特殊文件却是不能免疫、不能删,改注册表改名也无济于事,也就怪不得这条狗要凶这么久了。总而言之,userinit.exe才是防止穿透的唯一突破口。于是,我就瞄准这个userinit.exe突破口,要好好保护它不被穿透更改为致命关键!于是,我试过N种方法来保护这个文件,但都因为这文件开机的特殊性失败了!昨晚,我忽然想到了另一点,机器狗穿透的是EXE文件,如果我用别的非EXE文件来代替开机的userinit.exe,结果会怎样呢?我首先想到用个批处理,里面代码只要写上个真正的userinit.exe执行命令就可以,这样就不影响开机,而机器狗能在注册表读取到的userinit键值只是这个简单的批处理,那么它要穿透的也只有这个批处理!测试结果真的大快人心,这条狗根本就没更改批处理,或者说,它拿批处理反而没办法!其实也是,批处理写的代码不到30个字节,这条狗怎么穿透更改都是有限的。顺便介绍下,这狗很聪明,穿透更改后,文件的日期和大小都不变的,还真厉害!但用FC却能对比出文件代码是变动了,所以我前几天发的加料免疫中,有个开机对比检测批处理还是有很大效果的。好了,废话不多说了,看实际操作步骤:
1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下:
start FUCKIGM.exe (呵呵,够简单吧?)
3、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"
就这3步,让这条狗再也凶不起来!我是在XP和2003测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机啊游戏啊均无异常!win2000就没做测试了,但原理应该相通吧?这方法虽巳测试成功,但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!有经验的朋友可能要提议了,消除黑框用VBS或将BAT文件用幽灵软件转换啊?对不起,这两个方法我也分别做了测试的,改为VBS系统就不能启动了(可能是userinit.exe这个程序的特殊性吧?),而将BAT文件用幽灵软件转换成EXE文件后,那又上了机器狗的圈套,这条狗可要乐坏了,当然照穿不误!所以,目前开机黑框我是没能力取消的,看贴的友如果能取消的还请指点下!
最后,我将这3步做成一个批处理文件,各位下载后,要开放了还原后再执行,执行完毕会自动删掉该批处理的,那可是相当的绿色!从此,这条恶狗不再烦你,同胞们该游戏的游戏,该泡妞的泡妞,该……
对付病毒,人人有责!所以,测试过有效的朋友,请跟贴声明下效果!让别的朋友不再走弯路。若还有别的问题,也请跟贴说明下,让我们一起努力解决!
顶起来,让更多的同胞们脱离苦海——这也是你的责任了!
国际惯例,附上批处理源代码:
@echo off
:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
cd /d %SystemRoot%\system32
copy /y userinit.exe FUCKIGM.exe >nul
:::创建userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
声明:此帖在深度是首发!为了帮助到更多的朋友,我还会到网盟重发,请见谅!
最新完美补充----消除黑框,而且方法更简单更直接(这个补充就称方法2吧)
为了消除黑框,我又继续研究了下,不料又发现了更简单更直接的办法:直接更改系统无毒userinit.exe的后缀名为BAT(或者CMD和COM),再更改相应的注册表键值即可!
原理就是一句话,病毒穿透代码只能作用于EXE文件才生效!方法2我同样在XP和2003下试验了N遍,证明是可行的!现再次提供方法2的批处理代码(以改后缀名为BAT作例子):
@echo off
:::直接复制系统system32下的无毒userinit.exe为userinit.bat
cd /d %SystemRoot%\system32
copy /y userinit.exe userinit.bat >nul
:::注册表操作
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
是不是比方法1简单明了的多?我在代码中始终保留userinit.exe只是为了加多重保险和保证系统运行的兼容性,因为注册表有些键值还要用到它。但我试过没保留它也没出现什么异常!那就交给朋友们自己决定吧!
另外要解释下,复制出来的userinit.bat其实并不是真的批处理文件,它运行起来和EXE文件执行的效果是一样的,原因嘛……还是问微软吧,他们设计的东东,超复杂!我是不懂的了!所以,既然不是真的批处理,那黑框当然就不存在的,朋友们是不是感觉好多了?
这两种方法,我个人感觉还是第一种更可靠,虽然它并不完美!但病毒要攻破它是有相当难度的!而第二种方法就因为太直接了点,假以时日,病毒作者可能会攻克这种改了后缀还能照常运行的程序,比较让人担忧!不管怎样,目前我自己还是选方法2的,但方法1还是留作后备吧。
最后再啰嗦一句,为了其他仍处在水深火热中煎熬的同胞们,请你尽可能将使用结果反馈回来!谢谢合作!Good Luck !
关于远程调用说明:
有朋友提到能远程调用就好了!呵呵,我何尝不想?我也是懒人一个!我分析的结论是,远程调用还是能起到一定作用的,关键是在注册表做文章。当系统正常启动成功后,我们利用远程维护通道,马上将注册表键值改成一个莫须有的文件名,再在system32下复制一份莫须有的userinit.exe(引诱病毒上当),那么,系统在使用中假如中了机器狗,病毒也只能读取到莫须有的键值,从而感染那个假的userinit.exe,真的它就改不了!重启后,因为注册表不会被改动,还是能正常读取到没被感染的userinit.exe的!远程批处理代码提供如下:
cd /d %SystemRoot%\system32
copy /y userinit.exe FUCKYOU.IGM >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit/t REG_SZ /d "C:\WINDOWS\system32\FUCKYOU.IGM," /f >nul
紧急通知:昨天提供下载的附件有失误,注册表键值是设在E盘的(当时是用双系统测试,忘了改回去了),执行后会造成开机失败!特此道歉!现巳更正重新上传了!
看到有朋友要病毒样本,我就提供一份吧,测试补丁是否有效其实也很简单。先把网线断掉(为了不影响其它机子),在不打补丁的情况下,执行机器狗,马上注销,会有个黑框出现,然后系统就停留在那不动了!这是中毒症状!你接着按热键呼出任务管理器,输入explorer.exe就可进入桌面,然后复制一个正常的userinit.exe放回去,执行补丁,再双击机器狗,注销,效果出来了,系统正常进去!和以前开机没什么两样,就相当于没中机器狗!测试也挺方便吧?不用重启,不用开放还原就能试出效果的!若双击IGM病毒的话,注销后只是多了个IGM.exe进程,其它都没事,正常有还原的机子,重启后,IGM.EXE是会被还原掉了,不存在了,因为userinit并没有被穿透!
防机器狗+IGM穿透方法1.rar
(359 Bytes, 下载次数: 342)
防机器狗+IGM穿透方法2.rar
(369 Bytes, 下载次数: 125)
机器狗和变种IGM木马(病毒)样本.rar
(44.32 KB, 下载次数: 123)
[ 本帖最后由 kyqm 于 2008-3-12 02:59 PM 编辑 ] |
|
IP卡
狗仔卡
发表于 2007-11-5 08:23:43
收藏
支持
反对
提升卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡