发布:2007/11/26 阅读:238
“我们网吧出现了一种奇怪的病毒,原来电脑重启后因为安装了硬盘保护卡,系统会自动还原,现在硬盘保护卡不管用了,系统文件里出现了一个小狗的图案,运行也很慢。已经有网络游戏玩家说在我们网吧丢了游戏帐号,要向我们索赔”,11月22日,一网吧业主焦急地向江民反病毒工程师反映在他的网吧发生的奇怪事情,他想知道,到底是什么病毒这么厉害,连硬盘还原卡都不管用了。
在提取了病毒样本后,江民反病毒专家分析认为,该网吧是中了一种名为“机器狗”的新型木马。该木马借助ARP病毒大肆传播,可以突破“冰点还原”等系统还原软件,还可以突破一些常见的硬盘保护卡,使系统还原保护失效。在突破硬盘保护卡后,该病毒会下载多个恶性网游木马,盗取常见的网络游戏的帐号和密码,使用户遭受巨大损失。
据江民反病毒专家介绍,由于网吧的特殊性,许多网吧业主并不安装杀毒软件,而是普遍安装硬盘还原卡,通过还原系统来保护系统安全。安装了硬盘还原卡后的电脑,无论玩家在上面电脑上进行了何种操作,重启电脑后都可以自动恢复到初始状态。许多网吧业主把硬盘还原卡看成是网吧的安全救星,认为只要安装了还原卡就可以一劳永逸了,不再采取其它任何安装措施,“机器狗”病毒正是抓住了网吧业主的这种心量,在突破了硬盘还原卡后,大肆窃取网络游戏玩家的帐号、密码,使网络游戏玩家以及网吧业主遭受巨大损失。
反病毒专家分析,“机器狗”病毒运行后,会在%WinDir%\System32\drivers 目录下释放出一个名为pcihdd.sys 的驱动程序,该文件会接管冰点或者硬盘保护卡对硬盘的读写操作,这样该病毒就破解了还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞,从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马,盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码,严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。此外,该病毒还会随ARP病毒传播,因此对局域网杀伤性极大。
针对该病毒,江民科技反病毒中心已经及时升级了病毒库,用户只要将KV杀毒软件升级至最新版本,就可以防范查杀此病毒。江民反病毒专家建议广大用户采取以下六大措施,防范遭受“机器狗”等病毒侵害。
1、及时升级杀毒软件病毒库,补齐系统漏洞,上网时确保打开"网页监控"、"邮件监控"功能。
2、江民杀毒软件"移动存储接入杀毒"能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,完全保护计算机系统安全。
3、禁用系统的自动播放功能,防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机。
4、建议在登录网游账号、网络银行账户时采用软键盘输入账号及密码。
5、做好局域网的ARP病毒防范工作。
6、用户可以使用"江民密保",可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码,全面保护用户私密信息。