http://bbs.netzonesoft.com/simple/index.php?t7182.html

关于explorer.exe变种免疫方案，使用批处理解决

copy %systemroot%\explorer.exe c:\
ren %systemroot%\explorer.exe plorer.exe
copy /y c:\explorer.exe %systemroot%\

原理：与userinit.exe防御是一样的.

-----------------------------------------------------------------------------------

1.hosts长期整理更新，在这里感谢死性不改。效果非常好，做的可是非常辛苦的工作....

原理：通过hosts屏蔽带病毒网站，每天都在不定时更新，屏蔽一个就少一个中毒的机率
优点：不占用系统任何资源，高效，准确....
更新日期：2008-01-14


开机批处理调用方法：

下载后保存为hosts文件，无后缀名
copy \\服务器地址\hosts %windir%\system32\drivers\etc\hosts /y
:这句是替换服务器上最新的hosts到客户机文件
attrib +r +a +s +h %windir%\system32\drivers\etc\hosts
echo y|cacls %windir%\system32\drivers\etc\hosts /g everyone:r
:设置hosts权限，防止被病毒等程序修改





-------------------------------------------------------------------------------------------------------------------

2.最新变种机器狗防穿透补丁

原理：通过批处理修改注册表，重命名，压缩等一系列措施根据最新变种而时时修改

优点：可通过开机调用，方便快捷，代码精炼运行速度快，效果也明显

为了方便解释和分析补丁原理请大家先看1楼注释部分了解我操作了什么然后再来这里看原理部分，以下为了说明方便，代码部分排头列出行号

1 wmic process where name="userinit.exe" call terminate
2 wmic process where name="jeffxl.exe" call terminate
3 if not exist %systemroot%\system32\userinit.bat goto backup
4 copy /y %systemroot%\system32\userinit.bat %systemroot%\system32\userinit.exe
5 del /f /q %systemroot%\system32\userinit.bat

6 :backup
7 if exist %systemroot%\system32\userinit.bak goto jeffxl
8 copy /y %systemroot%\system32\userinit.exe %systemroot%\system32\userinit.bak

8 :jeffxl
9 if exist %systemroot%\system32\jeffxl.exe goto main
10 copy /y %systemroot%\system32\userinit.bak %systemroot%\system32\jeffxl.exe

11 :main
12 echo del /f /q %systemroot%\system32\jeffxl.exe > %systemroot%\system32\jeffxl.bat
13 echo del /f /q %systemroot%\system32\userinit.exe >> %systemroot%\system32\jeffxl.bat
14 echo copy /y %systemroot%\system32\userinit.bak %systemroot%\system32\jeffxl.exe >> %systemroot%\system32\jeffxl.bat
15 echo copy /y %systemroot%\system32\userinit.bak %systemroot%\system32\userinit.exe >> %systemroot%\system32\jeffxl.bat
16 echo start %systemroot%\system32\jeffxl.exe >> %systemroot%\system32\jeffxl.bat
17 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d "C:\WINDOWS\system32\jeffxl.bat," /f
18 Compact /c /f /i %systemroot%\system32\userinit.exe
19 Compact /c /f /i %systemroot%\system32\jeffxl.exe
20 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGM.EXE" /v debugger /t reg_sz /d debugfile.exe /f
21 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IGW.EXE" /v debugger /t reg_sz /d debugfile.exe /f
22 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Vml.exe" /v debugger /t reg_sz /d debugfile.exe /f
23 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\usrinit.exe" /v debugger /t reg_sz /d debugfile.exe /f
24 reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spoolsv.exe" /v debugger /t reg_sz /d debugfile.exe /f

1-2行为最初机器狗变种时使用userinit.exe作为穿透对象和其他病毒木马的下载器，在启动时第一时间结束掉进程可以一定程度上防止补丁失效后在启动时下载病毒体到本地，而后的变种采用系统引导被穿透的userinit.exe后他自己不实施下载器任务，注入下载器到其他系统进程另外调用。

3-5行是为了消除老用户使用我之前一系列补丁后可能在使用第10版包括以后版本当中因为代码分歧造成的错误和BUG，并修复之前补丁关于修改此处的遗留文件，这个不用解释，在本次更新当中不对防穿起任何意义。

backup执行段，也就是6-8行，第一次应用本补丁提取正常无毒的userinit.exe建立备份文件。建立备份的目的：谁都无法保证系统原始的userinit.exe在以后的运营当中之前或之后变种病毒不去拜访一下这个原始系统文件，哪怕注册表改到其他路径，文件另复制一个到新名字，虽然新变种通过注册表读取路径。再次启动时到这行代码会发现系统第一次解还原打补丁安装过程中建立了正确的userinit.exe的备份而跳转到下面去执行，什么意思？就是说处理第一次提取正确的文件后，在以后的运营中不管原始文件是否中毒，因为判断语句的存在，以存在备份的情况下不会再次复制可能已经感染病毒的userinit.exe重新覆盖userinit.bak。这个备份用处后面详细说明。（这一执行段对第一次使用解还原打补丁方式留下userinit.bak才有效，一直使用维护通道而没有解过还原打一次补丁的会因为每次启动都判断没有备份而新复制备份而无效，因为运营当中原始userinit.exe可能在哪一天已经被病毒拜访并穿透了，之后每次复制的也是带毒体）

8-10从无毒备份建立2级伪装批处理需要调用的正常userinit.exe的改名文件jeffxl.exe。（其实可以不要，为了软件兼容性而存在，因为后面代码中系统启动时会实时建立，系统userinit.exe同理，可能在下个版本前经过谨慎验证兼容性后在系统运行当中采取始终没有任何userinit.exe、jeffxl.exe等实体userinit.exe文件或副本存在的情况下运行系统，启动时需要实时建立，启动完毕后删除自身）

主代码段12-16行是创建一个个名字为jeffxl.bat的批处理文件以供后面新的userinit项目注册表的调用，关于这段我说明一下。这个BAT文件在系统启动时的的调用时间甚至在本补丁所有代码执行之前，因为一次解还原操作被保留进系统，下次启动启动调用会首先调用这个BAT内的内容他会首先从备份当中修复可能穿透的userinit.exe和伪装的副本，然后再调用伪装副本完成引导过程。以下为在主代码当中使用代码注入创建jeff.bat当中实际内容：

del /f /q %systemroot%\system32\jeffxl.exe

（不管有没有毒，删了再说）

del /f /q %systemroot%\system32\userinit.exe

（不管有没有毒，删了再说）

copy /y %systemroot%\system32\userinit.bak %systemroot%\system32\jeffxl.exe

copy /y %systemroot%\system32\userinit.bak %systemroot%\system32\userinit.exe

（以上两行为复制正确备份中的到目标文件）

start %systemroot%\system32\jeffxl.exe

（启动无毒或有毒修复后的userinit.exe副本伪装正确引导系统其余步骤）





17行到最后一些代码为修改系统userinit项目启动调用为2次伪装批处理，并在起处理当中执行修复代码段和启动正常无毒的userinit.exe伪装副本正确引导系统，其他注册表项目为禁止执行的进程，还有压缩userinit.exe和他的伪装副本

本补丁用到的原理有：免疫部分有开机既结束可能导致下载病毒的进程、利用现今变种定位文件时如遇到NTFS压缩则出现计算错误、利用2次调用伪装批处理加再调用镜像伪装防止新变种利用注册表实际路径来感染实际启动时注册表指向的文件。修复部分有通过解一次还原运行一次本补丁建立userinit.exe的备份文件，并使jeffxl.bat保留到系统当中使这个批处理当中的修复代码有意义，系统启动下次启动过程中因为userinit项目为系统配置引导程序，启动优先级别较高，会通过注册表值调用这个批处理最优先执行在所有任务之前，而这个批处理实际启动userinit.exe伪装镜像在修复之后，不管之前是否感染到伪装或原始文件都会先修复再继续执行正确的副本完成正确的引导过程(哪怕被穿)。



更新日期：2008-01-13

开机批处理调用：
start \\服务器地址\补丁.exe /s


-------------------------------------------------------------------------------------------------------------------
3.其他措施：

3.1。彻底解决realplayer漏洞防止机器狗下载
del "C:\Program Files\Real\RealPlayer\rpplugins\ierpplug.dll"

3.2。有条件的朋友建议在客户机安装NOD32