最近机器狗病毒盛行，而黑客为了进一步增强病毒的破坏能力，在机器狗病毒中加入了很多“新功能”，应该可以预见到，复合型机器狗将会在未来的一段时间内盛行。

下面是最近截获的这个比较可恶的病毒的简要分析和查杀举例

File: mm.exe
Size: 12340 bytes
Modified: 2008年2月1日, 22:57:01
MD5: 3F93A9CCB07B2341C7BED9CE807CA34D
SHA1: DB9E60225412DED91C3BD783BE5E76AA6AD77C4E
CRC32: 29257F02

1.主病毒（mm.exe）运行后，释放如下文件：
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\WINDOWS\system32\lssass.exe

注册服务DeepFree Update 指向C:\WINDOWS\system32\drivers\pcihdd2.sys 并加载这个驱动 这个驱动即为机器狗的驱动
之后会替换userinit.exe文件

2.之后mm.exe启动C:\WINDOWS\system32\lssass.exe 至此mm.exe（即机器狗）退出 大权交给lssass.exe

3.lssass.exe运行后，释放如下文件
C:\WINDOWS\system32\drivers\ati32srv.sys

注册服务ATI2HDDSRV 指向ati32srv.sys 并加载这个驱动 该驱动可以恢复系统的SSDT表 使得杀毒软件的API hook完全失效...很多杀毒软件的“主动防御”和“自我保护”功能也因此失效

4.调用cmd.exe把KvTrust.dll，UrlGuard.dll，antispy.dll，safemon.dll，ieprot.dll重命名为tmp%d.temp的格式

5.结束很多安全软件进程
avp.com                       
avp.exe                       
runiep.exe                     
PFW.exe                       
FYFireWall.exe                 
rfwmain.exe                   
rfwsrv.exe                     
KAVPF.exe                     
KPFW32.exe                     
nod32kui.exe                   
nod32.exe
Navapsvc.exe         
Navapw32.exe                   
avconsol.exe                   
webscanx.exe                   
NPFMntor.exe                   
vsstat.exe                     
KPfwSvc.exe                   
Ras.exe                       
RavMonD.exe                   
mmsk.exe                       
WoptiClean.exe                 
QQKav.exe                     
QQDoctor.exe                   
EGHOST.exe                     
360Safe.exe                   
iparmo.exe                     
adam.exe                       
IceSword.exe     
360rpt.exe                     
360tray.exe                   
AgentSvr.exe                   
AppSvc32.exe   
autoruns.exe                   
avgrssvc.exe                   
AvMonitor.exe                 
CCenter.exe 
ccSvcHst.exe   
FileDsty.exe                   
FTCleanerShell.exe             
HijackThis.exe                 
Iparmor.exe                   
isPwdSvc.exe                   
kabaload.exe                   
KaScrScn.SCR                   
KASMain.exe                   
KASTask.exe                   
KAVDX.exe                     
KAVPFW.exe                     
KAVSetup.exe                   
KAVStart.exe                   
KISLnchr.exe                   
KMailMon.exe                   
KMFilter.exe               
KPFW32.exe                   
KPFW32X.exe                   
KPFWSvc.exe                   
KRegEx.exe                 
KRepair.com                   
KsLoader.exe                   
KVCenter.kxp                   
KvDetect.exe             
KvfwMcl.exe                   
KVMonXP.kxp                   
KVMonXP_1.kxp                 
kvol.exe               
kvolself.exe                   
KvReport.kxp                   
KVScan.kxp                     
KVSrvXP.exe         
KVStub.kxp                     
kvupload.exe                   
kvwsc.exe                     
KvXP.kxp           
KvXP_1.kxp                     
KWatch.exe                     
KWatch9x.exe                   
KWatchX.exe               
MagicSet.exe                   
mcconsol.exe                   
mmqczj.exe                     
KAV32.exe                   
nod32krn.exe                   
PFWLiveUpdate.exe             
QHSET.exe                     
RavMonD.exe 
RavStub.exe                   
RegClean.exe                   
rfwcfg.exe                     
RfwMain.exe
rfwsrv.exe                   
RsAgent.exe                   
Rsaupd.exe                     
safelive.exe                   
scan32.exe                     
shcfg32.exe                   
SmartUp.exe                 
SREng.EXE                     
symlcsvc.exe                   
SysSafe.exe                   
TrojanDetector.exe         
Trojanwall.exe                 
TrojDie.kxp                   
UIHost.exe                     
UmxAgent.exe                 
UmxAttachment.exe             
UmxCfg.exe                   
UmxFwHlp.exe                   
UmxPol.exe                     
UpLive.exe                     
procexp.exe               
OllyDBG.EXE                   
OllyICE.EXE                   
rfwstub.exe                   
RegTool.exe             
rfwProxy.exe           

6.映像劫持几乎上面所有安全软件指向“ntsd -d” 

7.启动IE进行下载工作，首先会读取http://xtx.×××.info/images/xin.txt比较
里面的VERSION信息 如果发现不是最新版本 则下载最新版本 具有自我更新功能

8.之后继续读取下面的下载信息 下载木马
目前下载的病毒地址为
http://2.×××.info/xm/aa1.exe~http://2.×××.info/xm/aa13.exe
http://444.××××××××.com/xm/aa14.exe~http://444.××××××××.com/xm/aa26.exe

病毒木马植入完毕后的sreng日志如下（本例中均假设系统装在C盘下）
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WSockDrv32><C:\WINDOWS\dqyxis.exe> []
    <upxdnd><C:\WINDOWS\upxdnd.exe> []
    <LotusHlp><C:\WINDOWS\LotusHlp.exe> []
    <PTSShell><C:\WINDOWS\PTSShell.exe> []
    <SHAProc><C:\WINDOWS\SHAProc.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <kfzmwcnyi><kfzmwcnyi.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{2f32e793-9263-4aa5-862f-da2480554715}><C:\WINDOWS\system32\JAA-JAA-1032.dll> []
    <{9a8234b5-a04c-4b0c-ad8c-f4fdb94c9543}><C:\WINDOWS\system32\RAA_RAA_1002.dll> []
    <{4FA10261-B890-F432-A453-69F1023513F4}><C:\WINDOWS\Fonts\gjcsdyc.dll> []
    <{94f833b0-726d-4d09-b715-6352f632ece7}><C:\WINDOWS\system32\QAB_QAB_1011.dll> []
    <{0a1d93b9-0e5d-4239-94df-6e673bf85067}><C:\WINDOWS\system32\IIA-IIA-1030.dll> []
==================================
驱动程序
[ATI2HDDSRV / ATI2HDDSRV][Running/Manual Start]
<\??\C:\WINDOWS\system32\drivers\ati32srv.sys><N/A>
[DeepFree Update / DeepFree Update][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pcihdd2.sys><N/A>
[msskye / msskye][Running/Auto Start]
<system32\drivers\msaclue.sys><N/A>
==================================
正在运行的进程
[PID: 1452][C:\WINDOWS\system32\userinit.exe] [N/A, ]
    [C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
[PID: 1472][C:\windows\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\JAA-JAA-1032.dll] [N/A, ]
    [C:\WINDOWS\system32\RAA_RAA_1002.dll] [N/A, ]
    [C:\WINDOWS\Fonts\gjcsdyc.dll] [N/A, ]
    [C:\WINDOWS\system32\QAB_QAB_1011.dll] [N/A, ]
    [C:\WINDOWS\system32\IIA-IIA-1030.dll] [N/A, ]
    [C:\WINDOWS\wlqirtuk.dll] [N/A, ]
    [C:\WINDOWS\dcadmqws.dll] [N/A, ]
    [C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
    [C:\WINDOWS\system32\WSockDrv32.dll] [N/A, ]
    [C:\WINDOWS\system32\LotusHlp.dll] [N/A, ]
    [C:\WINDOWS\system32\PTSShell.dll] [N/A, ]
    [C:\WINDOWS\system32\SHAProc.dll] [N/A, ]
    [C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
...

查杀方法举例：
1.手动查杀：

下载sreng：http://download.kztechs.com/files/sreng2.zip
Xdelbox：下载地址http://www.dodudou.com/down/里面的原创软件文件夹下

复制如下文字 到剪贴板（只限本例中下载的木马名称，具体情况需要具体分析）
C:\WINDOWS\Fonts\gjcsdss.dll
C:\WINDOWS\Fonts\gjcsdyc.dll
C:\WINDOWS\Fonts\gjcsdzc.exe
C:\WINDOWS\Fonts\gjcubxw.fon
C:\WINDOWS\system32\drivers\msaclue.sys
C:\WINDOWS\system32\drivers\usbKeyInit.sys
C:\WINDOWS\system32\3auhad.dll
C:\WINDOWS\system32\cuhad.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\ejcvogxwow.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\HDDGuard.dll
C:\WINDOWS\system32\HHHCompress.dll
C:\WINDOWS\system32\hnibxqidj.dll
C:\WINDOWS\system32\IIA-IIA-1030.dll
C:\WINDOWS\system32\JAA-JAA-1032.dll
C:\WINDOWS\system32\knjcwnezyzj.dll
C:\WINDOWS\system32\knlExt.dll
C:\WINDOWS\system32\lnaixnauhqq.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\lrngbtlzx.dll
C:\WINDOWS\system32\lssass.exe
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\system32\MSDEG32.DLL
C:\WINDOWS\system32\mshxxbb32.dll
C:\WINDOWS\system32\msqjmmm32.dll
C:\WINDOWS\system32\mstfhncn32.dll
C:\WINDOWS\system32\mswmkkk32.dll
C:\WINDOWS\system32\mswwwdj32.dll
C:\WINDOWS\system32\niluw.dll
C:\WINDOWS\system32\otpiexpqj.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\QAB_QAB_1011.dll
C:\WINDOWS\system32\RAA_RAA_1002.dll
C:\WINDOWS\system32\SHAProc.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Wingin.exe
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\xbwqogywm.dll
C:\WINDOWS\dcadmqws.dll
C:\WINDOWS\kfzmwcnyi.exe
C:\WINDOWS\litknpar.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\SHAProc.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\wlqirtuk.dll
C:\WINDOWS\WSockDrv32.exe

解压下载的Xdelbox压缩包内所有文件到一个文件夹下

之后打开Xdelbox.exe
在下面的大框中 单击右键 点击 “剪贴板导入不检查路径”
之后刚才复制的那个文件列表将出现在下面的大框中
然后再在下面的大框中单击右键 点击 “立即重启执行删除”
软件会自动重启计算机

重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
不用你管，它会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式
重启后 千万不要联网

打开sreng 删除上面涉及到的启动项目 和IFEO项目

然后双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
复制C:\Windows\system32\dllcache\userinit.exe 到C:\Windows\system32覆盖已有文件 如果提示覆盖错误 在任务管理器里面结束userinit.exe即可

2.使用专杀处理（以瑞星近期出的机器狗专杀为例）

经测试该专杀可以杀灭目前大部分机器狗下载的木马 并可自动修复userinit.exe等系统文件

瑞星机器狗专杀：http://download.rising.com.cn/zsgj/RavEdog.exe

江民机器狗免疫程序下载：http://www.jiangmin.com/download/machinedogpatch.exe

360机器狗专杀：http://360.qihoo.com/4002404/2595242.html

金山机器狗专杀：http://bbs.duba.net/attachment.php?aid=16100608

超级巡警机器狗专杀：http://download.pchome.net/utility/antivirus/trojan/detail-81071.html

综上所述，复合型机器狗病毒具有机器狗的完全特征并加入了一些“新的功能”比如映像劫持杀毒软件，破坏杀毒软件的API hook等 今后可能会加入更多的破坏功能
目前此类病毒的主要传播途径是网页挂马
所以希望大家注意以下几点：
1.及时升级杀毒软件和防火墙（老生常谈）
2.一定要打全Windows系统补丁（非常重要）
3.各种软件也尽量使用最新版本，尤其迅雷，PPstream，realplayer，暴风影音，百度toolbar等等，现在大多以利用这些软件的漏洞挂马为主

阳光辛苦了！谢谢！

多谢版主

晕死  我昨天中的 现在解决了一部分 但是还是不行  瑞星防火墙可以打开了 也可以升级了 但是EXE所有反键运行方式都是这样(图)  瑞星监控的小绿伞也不见了 打开瑞星杀软 上面说监控已经全部打开 但是就是不见小绿伞  另外进程比原先没中毒的时候少了8个左右 瑞星可以正常升级了 但是查不出毒5555.... 望版主帮我看看

附上SREngPS.EXE日志

附上RsDetect.exe日志http://forum.ikaka.com/topic.asp?board=28&artid=8424687之前发的帖子

直接上传TXT文件.

c:\WINDOWS\system32\plnpjqpwow.dll
c:\WINDOWS\system32\vfdorxozx.dll
c:\WINDOWS\system32\wtygupedj.dll
c:\WINDOWS\system32\gaibsodqj.dll
c:\WINDOWS\system32\koqduhxzyzj.dll

这是我用完瑞星的专杀查完后再用360专杀查到机器狗下的木马