IGM.exe病毒 机器狗IGM
现在各大网站,都在注视着这个问题!
但是我们网吧打了免疫补丁后,依然有病毒出现。
先说IGM,这个毒本身,没有那么强的危害,它纯粹就是个下马器,可它搭载了机器狗的列车,一下好危险,很多管管发现还原的系统一开机有IGM,惊呼:IGM穿透还原啦……天下惊恐。经过针对目前掌握的6个变种版本的彻底分析与测试,结论如下:首先,IGM没有穿透还原功能;其次,IGM不感染EXE等程序文件;带ARP网络欺骗。有说法称IGM会下载机器狗进行穿透。经过对6个变种的测试,未发现下载机器狗的操作,可机器狗的穿透后的下载却含了IGM。也许是我样本收集不全。可不管他是先下载还是后下载,有一个根本性的问题,就是穿透的防御,IGM的危害实际上还是在这,如果没有穿透,IGM能危害到哪去?顶多就是骗骗内网机器。那么我们接下来要说的,就是这最关键的话题,机器狗的穿透。经过对机器狗的分析和网上众多资料的参考,其穿透原理我想不用我再重复,0908版疫苗发布的时候我就说过了。我们说下防御。盟里有很多热心的朋友公布了自己的研究结果和解决方案。其实我们和病毒抢来抢去的是一个文件:userinit.exe 从防御的角度讲,彻底免疫机器狗有以下几个方案:
一:使用疫苗阻止病毒发作;
二:降低当前系统账户权限,使病毒无权发作;
三:在userinit文件上做手脚。
第一种方法我就不废话了,以免炒作嫌疑。第二种方法虽然可行,但是需要较高的系统知识和水平,具体做法是将当前系统账户权限从Administrator组下降一个级别,这样不仅仅是机器狗无法发作了,甚至很多病毒都无法发作了。可是同时产生的副作用是,一些游戏或者软件的安装使用会出现权限不足的问题,那么这就需要大量测试,谁也无法给出个准确的列表,毕竟软件如海游戏如海。第三种方案,userinit文件的手脚怎么动,盟里的方案大致有这么几个:
A,改名同时改注册表,保证系统启动正常。此法未经测试,不知道病毒会不会通过注册表获取此文件名。
B,偷梁换柱,把userinit改来改去,再弄份假的给病毒玩。此法有效。
C,改名在先,BAT启动在后。病毒无法修改BAT。此法亦有效,但开机有BAT黑窗口。有人质疑:如果病毒变种了开始修改BAT怎么办。。。
那么我的方案是这样:
首先你需要关闭XP的系统文件保护功能(WFP),保证修改系统文件名时不被还原,并且无提示。然后清空SFC缓存(sfc.exe /purgecache) 系统文件保护功能的彻底关闭可以参阅相关资料,也可以使用XPLITE这个软件完成。切记一定要关闭WFP,否则还是会有提示。接下来,使用开机通道,也就是开机批处理或者脚本,这个都有吧。把握计算userinit运行结束退出的时间,使开机通道在它退出后进行改名操作。改什么名随你。然后防御结束,此法在不动系统的情况实现有点难度,因为WFP关闭要么用程序,要么需要重起。具体实现,自行考虑吧,我的母盘本来就是关闭WFP的。所以我省事的多。这样做的好处是,改名全凭自己喜好,机器狗永远也无法找到你改名后的文件,你可以把它改成TXT,可以改成BAT,可以改成DAT,什么格式都行,或者干脆删掉。不影响系统使用,重起后文件被还原,也不影响进入系统。在任务管理器里可以观察userinit运行情况,等程序退出后,改名或者删除,就可以彻底防御机器狗了,没有了穿透,IGM还能做点什么?那么这个方法也有个缺点。注销是个问题了,因为系统登陆是需要这个程序运行的,解决方案有2个,一是做个备份,用批处理做个恢复,转成EXE快捷到桌面上,顾客点这个注销,二是干脆不让注销,把注销屏蔽了。
总结一下:整体思路就是这样,先保证修改userinit文件名不会出提示,然后使用任何手段使userinit运行完后就被改名。机器狗&IGM终结了。
