“机器狗”横行霸道 微点专家支招“解毒”方案
一向被认为具有“金刚不坏之身”的硬盘还原卡,目前正遭受来自“机器狗”病毒的严重侵袭——一种图标酷似Sony机器狗“AIBO”病毒程序可以轻松地将其突破,使安装了还原卡的电脑重启系统后,病毒仍然存在。中了“机器狗”病毒的电脑还会自动联网下载各种病毒木马,并借助ARP类病毒进行传播,使其传播速度成级数倍增快,很快就造成全网瘫痪。
记者就此采访了微点反病毒专家。据微点反病毒专家介绍,还原卡作为一种简单易用的管理工具,无论用户如何“蹂躏”电脑设置和文件,重启计算机后,系统都会自动还原到被保护时的状态,因此被广泛应用在网吧、学校机房。目前,已有众多使用硬盘还原卡的网吧、学校大面积感染“机器狗”病毒,造成网络瘫痪,无法正常运行。
“机器狗”病毒为什么能够轻松突破还原卡这一问题采访了微点反病毒专家?微点反病毒专家介绍说,一般情况下,安装还原卡后,只需重启系统病毒自然就会灰飞烟灭,而机器狗病毒采用的技术手段较为巧妙,病毒的编写者对还原卡和Windows内核机制十分熟悉,通过自动释放出的内核级驱动程序pcihdd.sys,采用物理直接读写方式绕过还原卡的监控,感染Windows系统核心的用户模式引导文件%SystemRoot%\system32\userinit.exe,从而造成还原卡失效。 “机器狗”病毒为什么对网吧和学校机房影响比较大?微点反病毒专家介绍,在使用还原卡的计算机上安装的杀毒软件,不论杀毒软件是否升级,当计算机开机或重启后,杀毒软件就退回到原先的版本,实际上并没有真正升级。而传统的杀毒软件技术滞后于病毒的重大技术缺陷在还原卡环境下表露无遗,因为受还原卡机制的制约而无法升级,杀毒软件在网吧环境中对“机器狗”病毒的变种几乎没有任何查杀能力。所以,“机器狗”病毒对网吧和学校机房影响特别大。近期,微点反病毒专家根据微点主动防御软件自动捕获的样本分析发现,已捕获的多种“机器狗”样本都会自动下载ARP类病毒,ARP病毒能够瞬间传遍局域网中所有电脑,对局域网危害极大,正可谓是一机中毒,全网“遇难”。使用还原卡的用户如何防范“机器狗”病毒?微点反病毒专家介绍,微点主动防御软件采用行为监控识别病毒的新技术,将其部署在还原卡无法频繁升级的苛刻环境中,即使没有升级也可有效防范“机器狗”病毒及其变种。因此,建议广大网吧、学校等还原卡用户安装微点主动防御软件,以保护您的计算机免受“机器狗”病毒的肆虐,维护您局域网的正常工作和使用
(图1)为微点主动防御软件拦截机器狗新变种的报警图
图2)为微点主动防御软件拦截机器狗已知变种的报警图
由于该病毒多发生于网吧、学校机房、公司局域网络,因此微点反病毒专家建议行业用户可以参照如下方法防范该病毒: 中文名称:机器狗病毒
病毒命名:Trojan-Downloader.Win32.EDog.h
病毒特性:穿透还原卡,借助ARP造成网吧、学校机房、公司局域网全网瘫痪。
解决方案:
手工解毒:
已中毒计算机,可使用启动盘引导系统,用相同版本的正常userinit.exe文件替换染毒系统的 SystemRoot%/system32/userinit.exe文件。
微点方案:
使用微点主动防御软件自动清除机器狗病毒,微点主动防御软件会在重启时自动修复染毒系统。
预防方案:
微点主动防御软件采用行为监控识别病毒的新技术,将其部署在还原卡无法频繁升级的苛刻环境中,即使 没有升级也可有效防范“机器狗”病毒及其变种。因此,建议广大网吧、学校等还原卡用户安装微点主动防御软件,以保护您的计算机免受“机器狗”病毒的肆虐,维护您局域网的正常工作和使用。
网吧、学校机房、公司局域网络如何安装微点主动防御软件:
一、
采用GHOST方式安装
1、先安装一台计算机,安装前请先解除计算机的还原卡保护,安装过程中不要注册,安装完成后,启动计算机时,不进入系统,直接进入ghost进行备份;
2、备份完成后,启动计算机,一般情况下无需对微点软件进行设置,如有特殊需要可参照【附注设置方法】;
3、使用ghost备份文件回复到其他计算机,然后逐台注册微点主动防御软件,注册成功后,导入步骤2中导出的配置文件,这样避免逐台设置。
注册注意事项:由于计算机比较多,建议使用同一个邮箱注册,但注册密码一定要不同,建议使用计算机的编号,请注意,密码长度最少6位,如果编号长度,可以输入两次编号以保证符合避免的长度,而且便于记忆。
二、逐台安装、注册
1、关闭计算机的还原卡保护,使用微点主动防御软件安装程序安装第一台计算机;
2、启动计算机,一般情况下无需对微点软件进行设置,如有特殊需要可参照【附注设置方法】;
3、然后逐台安装并注册,重新启动计算机后,导入步骤2中导出的配置文件。
注册注意事项:由于计算机比较多,建议使用同一个邮箱注册,但注册密码一定要不同,建议使用计算机的编号,请注意,密码长度最少6位,如果编号长度,可以输入两次编号以保证符合避免的长度,而且便于记忆。
三、附注--设置微点主动防御软件
1、升级设置:如果您的网吧、机房、公司局域网络没有采用代理上网方式,这里不需要设置,直接使用默认即自动升级方式即可;对于使用还原卡的网吧和学校机房,由于有还原卡保护的原因,会造成自动更新软件失败,可以选择设置为手动升级。然后定期(每周、每旬)打开还原卡升级。
2、程序行为实时监控策略设置:微点主动防御软件发现病毒后,默认情况下将弹出报警窗口提示用户。对于网吧因为玩游戏的用户比较多,有些正在玩游戏的用户对弹出窗口可能会反感。为避免这种情况,建议您在【程序行为实时监控策略】中选择“自动处理+采用静默方式”,这样就不弹出报警提示窗口;
3、传统防火墙:微点主动防御软件默认状态下不开启防火墙的功能,如果需要开启,请在状态栏微点托盘-鼠标右键-选中启动/停止防火墙即可。网吧、学校机房除了受到病毒、木马的威胁外,ARP欺骗攻击也是一个比较大的危害,微点主动防御软件对ARP攻击具有很好的防护能力,能够发现并清除ARP病毒程序,包括未知的ARP欺骗攻击程序。但由于防火墙频繁询问用户是否允许访问网络的弊端,而微点主动防御软件依据程序行为分析判断技术对未知病毒、木马具有比较强的判断能力,已经能够对计算机提供较强的保护能力,所以,我们建议您不开启防火墙的功能,避免增加您的管理工作。通过鼠标右键功能添加到可信任程序里。
4、对上述配置,使用【辅助功能】-【导入导出】设置,把这些设置选项导出成配置文件,以备后期安装使用。
|