今天从早上9点多一直测试到现在,结论是:方法1和2均被穿透了,方法3依然安全!我还是用www。77bbb。com 网站测试(从另外角度来说,还是很感谢这网站,它提供的最新变种起码起到了测试和敲响警钟的作用!),并提取出机器狗主程序explorer.exe做单独测试!在不作任何免疫的情况下,均能在开机运行穿透了的病毒userinit.exe!具体分析了下,根本原因在于方法1和方法2均保留了userinit.exe,给病毒穿透留下了祸根!可喜的是,换了名的并真正开机运行的userinit.exe(如FUCKIGM.exe和userinit.bat)却完全正常的!所以,如果用了方法1和方法2的朋友万一被穿透了,你只需先断网,再开放一次还原,进系统后直接删除掉userinit.exe就一切恢复正常了!看来我以前保留userinit.exe的想法是不成熟的!给大家造成不便,请原谅啊!而方法3之所以还安全,道理都明白,因为狗狗要穿透的载体userinit.exe不存在了!鉴于此,我略为修改了下方法1和方法2,将userinit.exe彻底删除掉!如果朋友们巳经使用了方法1或方法2的,直接先开放一次还原,进系统删除掉userinit.exe即可!或者直接使用我修改过的方法1和方法2都可以的。总的来说,修改后的方法1和方法2,再加上原来的方法3,均可以防止至今天为止的最新变种!
方法1:感谢朋友提醒,修正了其执行多次会导致开机出现“我的文档”的问题!
众所周知,机器狗或IGM变种能成功穿透还原,并狡猾地利用了userinit.exe这个系统必须的登录文件,将其更改成木马下载器,从而……我们防病毒方法一般都是被动地免疫了事,但对这个特殊文件却是不能免疫、不能删,改注册表改名也无济于事,也就怪不得这条狗要凶这么久了。总而言之,userinit.exe才是防止穿透的唯一突破口。于是,我就瞄准这个userinit.exe突破口,要好好保护它不被穿透更改为致命关键!于是,我试过N种方法来保护这个文件,但都因为这文件开机的特殊性失败了!昨晚,我忽然想到了另一点,机器狗穿透的是EXE文件,如果我用别的非EXE文件来代替开机的userinit.exe,结果会怎样呢?我首先想到用个批处理,里面代码只要写上个真正的userinit.exe执行命令就可以,这样就不影响开机,而机器狗能在注册表读取到的userinit键值只是这个简单的批处理,那么它要穿透的也只有这个批处理!测试结果真的大快人心,这条狗根本就没更改批处理,或者说,它拿批处理反而没办法!其实也是,批处理写的代码不到30个字节,这条狗怎么穿透更改都是有限的。顺便介绍下,这狗很聪明,穿透更改后,文件的日期和大小都不变的,还真厉害!但用FC却能对比出文件代码是变动了,所以我前几天发的加料免疫中,有个开机对比检测批处理还是有很大效果的。好了,废话不多说了,看实际操作步骤:
1、首先在系统system32下复制个无毒的userinit.exe,文件名为FUCKIGM.exe(文件名可以任意取),这就是下面批处理要指向执行的文件!也就是开机启动userinit.exe的替代品!而原来的userinit.exe保留!其实多复制份的目的只是为了多重保险!可能对防止以后变种起到一定的作用。
2、创建个文件名为userinit.bat的批处理(文件名也可任意取,但要和下面说到的注册表键值保持一致即可),内容如下:
start FUCKIGM.exe (呵呵,够简单吧?)
3、修改注册表键值,将userinit.exe改为userinit.bat。内容如下:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"
就这3步,让这条狗再也凶不起来!我是在XP和2003测试的,双击机器狗后,没什么反应,对比批处理也是正常,即这狗根本没改动它!开关机啊游戏啊均无异常!win2000就没做测试了,但原理应该相通吧?这方法虽巳测试成功,但唯一美中不足的是,采用经典模式开机的启动时会出现个一闪而过的黑框!有经验的朋友可能要提议了,消除黑框用VBS或将BAT文件用幽灵软件转换啊?对不起,这两个方法我也分别做了测试的,改为VBS系统就不能启动了(可能是userinit.exe这个程序的特殊性吧?),而将BAT文件用幽灵软件转换成EXE文件后,那又上了机器狗的圈套,这条狗可要乐坏了,当然照穿不误!所以,目前开机黑框我是没能力取消的,看贴的朋友如果能取消的还请指点下!
最后,我将这3步做成一个批处理文件,各位下载后,要开放了还原后再执行,执行完毕会自动删掉该批处理的,那可是相当的绿色!从此,这条恶狗不再烦你,同胞们该游戏的游戏,该泡妞的泡妞,该……
对付病毒,人人有责!所以,测试过有效的朋友,请跟贴声明下效果!让别的朋友不再走弯路。若还有别的问题,也请跟贴说明下,让我们一起努力解决!
顶起来,让更多的同胞们脱离苦海——这也是你的责任了!
国际惯例,附上批处理源代码:
@echo off
:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe
cd /d %SystemRoot%\system32
copy /y userinit.exe FUCKIGM.exe >nul
del /f /q userinit.exe >nul
:::创建userinit.bat
if exist userinit.bat del /f /q userinit.bat
echo @echo off >>userinit.bat
echo start FUCKIGM.exe >>userinit.bat
:::注册表操作
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d
"C:\WINDOWS\system32\userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
方法2:----消除黑框,方法更简单更直接
为了消除黑框,我又继续研究了下,不料又发现了更简单更直接的办法:直接更改系统无毒userinit.exe的后缀名为BAT(或者CMD和COM),再更改相应的注册表键值即可!
原理就是一句话,病毒穿透代码只能作用于EXE文件才生效!方法2我同样在XP和2003试验了N遍,证明是可行的!现再次提供方法2的批处理代码(以改后缀名为BAT作例子):
@echo off
:::直接复制系统system32下的无毒userinit.exe为userinit.bat
cd /d %SystemRoot%\system32
copy /y userinit.exe userinit.bat >nul
del /f /q userinit.exe >nul
:::注册表操作
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d
"C:\WINDOWS\system32\userinit.bat," /f >nul
:::删掉自身(提倡环保)
del /f /q %0
是不是比方法1简单明了的多?我在代码中始终保留userinit.exe只是为了加多重保险和保证系统运行的兼容性,因为注册表有些键值还要用到它。但我试过没保留它也没出现什么异常!那就交给朋友们自己决定吧!另外要解释下,复制出来的userinit.bat其实并不是真的批处理文件,它运行起来和EXE文件执行的效果是一样的,原因嘛……还是问微软吧,他们设计的东东,超复杂!我是不懂的了!所以,既然不是真的批处理,那黑框当然就不存在的,朋友们是不是感觉好多了?
这两种方法,我个人感觉还是第一种更可靠,虽然它并不完美!但病毒要攻破它是有相当难度的!而第二种方法就因为太直接了点,假以时日,病毒作者可能会攻克这种改了后缀还能照常运行的程序,比较让人担忧!不管怎样,目前我自己还是选方法2的,但方法1还是留作后备吧。
关于远程调用说明:
有朋友提到能远程调用就好了!呵呵,我何尝不想?我也是懒人一个!我分析的结论是,远程调用还是能起到一定作用的,关键是在注册表做文章。当系统正常启动成功后,我们利用远程维护通道,马上将注册表键值改成一个莫须有的文件名,再在system32下复制一份莫须有的userinit.exe(引诱病毒上当),那么,系统在使用中假如中了机器狗,病毒也只能读取到莫须有的键值,从而感染那个假的userinit.exe,真的它就改不了!重启后,因为注册表不会被改动,还是能正常读取到没被感染的userinit.exe的!远程批处理代码提供如下:
cd /d %SystemRoot%\system32
copy /y userinit.exe FUCKYOU.IGM >nul
del /f /q userinit.exe >nul
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d "C:\WINDOWS\system32\FUCKYOU.IGM," /f >nul
懒人朋友就先用这个远程调用的,等重做母盘或游戏更新时,最好采用方法1或方法2吧。
方法3:以“毒”攻毒,过河拆桥!
因为上两种方法都要将真实的userinit.exe易名和修改注册表,那就给使用PUBWIN2007和VD1.3的朋友造成了不便,以至不能使用上述方法!于是,这两天我又开始折腾,还算找到一个折衷的办法:不动注册表,不易名,只是将userinit.exe加多个运行后就马上删除自身的功能!具体介绍如下:
userinit.exe负责正常开机启动后,就基本没什么作用,这点相信大家都有共识了。可以说,留住它就给机器狗创造了穿透的机会!所以,我用软件给userinit.exe搞了点装修,让它完成使命后就人间蒸发。文件都没了,恶狗还穿透个啥子?——此乃“过河拆桥”!
改动程序对我而言,纯粹鸡同鸭讲!因为我对编程是多窍不通。但我找到款好用的捆绑工具,用它就轻松地实现了我的目的!因为此做法是按制作捆绑木马的方式实现的,所以,用“假木马”对付“机器狗”,又称之——以“毒”攻毒!
看帖的朋友请放心,我是用一个0字节的FUCKIGM.exe文件和无毒的userinit.exe捆绑在一起的,制作出来的文件绝对是无毒的,而且运行速度和原版毫无区别。不过要注意的是,在启动运行userinit时,会临时伴随一个mmm.dat进程,这是用来监控userinit的,一旦userinit运行完毕,它也随之终止,不占系统资源,不写注册表,也不影响开机速度!具体制作方法和制作软件我不便公布,不然我可能要被论坛删ID了,这点希望大家能理解。考虑到大家使用不同系统的原因,我就制作好3个版本的userinit.exe供大家下载试用,分别是:
提供下载的附件适用系统版本号为:(给大家一个提示:我曾将2003的两个版本用在XP上,启动也是正常,难道它们能通用?呵呵,这点大家自己分析吧)
WindowsXp Sp2: 5.1.2600.2180
Win2003EE Sp1: 5.2.3790.1830
Win2003EE Sp2: 5.2.3790.3959
若有朋友觉得此法可行,但需要其它版本号的,请跟帖传上来,我会尽快为你补充制作。
特别声明:1、userinit.exe修改版实质是由捆绑软件制作而成的“假木马”。经测试,麦咖啡安全通过!但瑞星会报毒,不排除还有其它杀软会报!但我保证这是误报!相信我的朋友就请放心使用!持怀疑的请止步!
2、使用PUBWIN2007和VD1.3的朋友请将测试结果告诉我,因为我这边测不了,不敢保证它能否令你们成功,谢谢合作和理解!
3、方法3仅适用安装了还原软件的系统!不然系统正常启动一次后,下次再启动就因为userinit.exe自杀而导致失败,系统有还原的那就不怕啦。不过大家在每次要开放还原干点什么时,尤其要记得补回这文件。
特别感谢:网盟朋友 jianghaiyang在543楼为大家做了详细的关于PUBWIN2007采用方法3后的实战报告,使用PUBWIN的朋友们可以了解下。
(防机器狗+IGM方法1_1120修改)
(防机器狗+IGM方法2_1120修改)
(userinit修改版重新上传)
注意:有杀软会误报的!
附上一个远程检测客户机userinit文件是否被修改工具:
http://www.txwm.com/BBS728301.vhtml
《[原创]简单远程调用!快速查看你网吧机子有没中IGM.exe》
关闭系统文件保护提示框(重起系统后才能生效)
01.
02.
[此贴子已经被作者于2007-12-1 13:26:07编辑过]
[广告] 
板凳都没了
