穿透还原病毒变种（userinit.exe）被穿透及防范

点击此下载补丁

病毒现象

　　最新发现有两台userinit.exe被穿透。建立pcihdd.sys假文件加无访问权限失效。病毒不再通过pcihdd.sys来争夺冰点的权限了，而是通过驱动文件usb32k.sys pcidisk.sys pcibus.sys等等来抢夺冰点的控制权，然后穿透userinit.exe，手工userinit.exe去除的写入权限自动加入。经分析这病毒可以继承父目录权限。所以在设置权限时，一定要不继承权限。这个病毒才不能自动加权限。

　　完成穿透后，重启如果连上网络的话会释放另一个文件：usrinit.exe，重启后硬盘就会产生大量的病毒文件了，开机一分钟内鼠标一直处在繁忙的漏斗状态。还有注册表也被加载了病毒启动项。

此主题相关图片如下：
此主题相关图片如下：
此主题相关图片如下：

此主题相关图片如下：




此主题相关图片如下：

不过反反复复重启观察了几次，有时间他们也会运行出错。。。

可能是病毒文件设计的缺陷吧。

此主题相关图片如下：


此主题相关图片如下：

主要生成文件如下

c:\windows\system32\drivers\usb32k.sys
c:\windows\system32\drivers\pcidisk.sys
c:\windows\system32\drivers\pcibus.sys
"c:\program files\conime0.exe"

从conime0到conime9

"c:\program files\conime9.exe"
c:\windows\system32\usrinit.exe

此主题相关图片如下：

通过检查userinit.exe文件，发现文件属性什么都没变，无论大小、时间、还有文件标签、文件版本都没有变化，只是MD5值变了，请看下面正常的MD5应该是fd5ccda253e5875c03e7ee2fc5e96022，其它不同的MD5就是被穿透了的。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

另外补充：这个最新变种机器狗的来源为：ＨＴＴp://www.ip540.com/down.exe

测试的时候请先把系统正常的userinit.exe删除掉（有还原的情况下），这样万一userinit.exe被穿透，冰点有还原记录下次重启的时候一样被还原回来的。

我是在删除系统正常userinit.exe和打开360安全卫士监控保护的时候下测试的,以下图片为测试结果....

此主题相关图片如下：


此主题相关图片如下：





此主题相关图片如下：


此主题相关图片如下：


此主题相关图片如下：

这个机器狗太变态了，运行后疯狂下载各种网游木马，加载启动项。。。穿透userinit.exe...并且还伴有ＡＲＰ欺骗。。。等等。。。运行下载的那个病毒后，360拼命的弹出警告，我一路让360允许他运行。。。：太变态了。不过我没注意看有没有删除ＧＨＯ备份文件，大家测试一下就知道了。

大家记得要封掉这个网站：ＷＷＷ.ip540.com不要点哦。ＩＰ为:222.170.73.83

此主题相关图片如下：

病毒防范

　　手工防范：

　　手工建立以下文件夹，作为病毒疫苗，并将它们的所有的权限删除，将设置为不继承。

c:\windows\system32\drivers\usb32k.sys
c:\windows\system32\drivers\pcidisk.sys
c:\windows\system32\drivers\pcibus.sys
c:\program files\conime0.exe
c:\program files\conime1.exe
c:\program files\conime2.exe
c:\program files\conime3.exe
c:\program files\conime4.exe
c:\program files\conime5.exe
c:\program files\conime6.exe
c:\program files\conime7.exe
c:\program files\conime8.exe
c:\program files\conime9.exe
c:\windows\system32\usrinit.exe

　方舟补丁防范：

若对手工操作不熟悉，可以下载“方舟穿透还原病毒DF广谱补丁1.0”
运行后，按“１”自动疫苗。

点击此下载补丁