网吧频遭离奇病毒袭击【转贴】
转自杜松之家;http://www.juniperbbs.net/index.php
新病毒“机器狗”被截获
“我们网吧出现了一种奇怪的病毒,原来电脑重启后因为安装了硬盘保护卡,系统会自动还原,现在硬盘保护卡不管用了,系统文件里出现了一个小狗的图案,运行也很慢。已经有网络游戏玩家说在我们网吧丢了游戏帐号,要向我们索赔”,11月22日,一网吧业主焦急地向 反病毒工程师反映在他的网吧发生的奇怪事情,他想知道,到底是什么病毒这么厉害,连硬盘还原卡都不管用了。
在提取了病毒样本后, 反病毒专家分析认为,该网吧是中了一种名为“机器狗”的新型木马。该木马借助ARP病毒大肆传播,可以突破“冰点还原”等系统还原软件,还可以突破一些常见的硬盘保护卡,使系统还原保护失效。在突破硬盘保护卡后,该病毒会下载多个恶性网游木马,盗取常见的网络游戏的帐号和密码,使用户遭受巨大损失。
据 反病毒专家介绍,由于网吧的特殊性,许多网吧业主并不安装杀毒软件,而是普遍安装硬盘还原卡,通过还原系统来保护系统安全。安装了硬盘还原卡后的电脑,无论玩家在上面电脑上进行了何种操作,重启电脑后都可以自动恢复到初始状态。许多网吧业主把硬盘还原卡看成是网吧的安全救星,认为只要安装了还原卡就可以一劳永逸了,不再采取其它任何安装措施,“机器狗”病毒正是抓住了网吧业主的这种心量,在突破了硬盘还原卡后,大肆窃取网络游戏玩家的帐号、密码,使网络游戏玩家以及网吧业主遭受巨大损失。
反病毒专家分析,“机器狗”病毒运行后,会在%WinDir%System32drivers 目录下释放出一个名为pcihdd.sys 的驱动程序,该文件会接管冰点或者硬盘保护卡对硬盘的读写操作,这样该病毒就破解了还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用MS06-014和MS07-017系统漏洞和等多个应用软件漏洞,从http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等恶意网址下载多款网游木马,盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码,严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。此外,该病毒还会随ARP病毒传播,因此对局域网杀伤性极大。
针对该病毒, 反病毒中心已经及时升级了病毒库,用户只要将KV杀毒软件升级至最新版本,就可以防范查杀此病毒。 反病毒专家建议广大用户采取以下六大措施,防范遭受“机器狗”等病毒侵害。
1、及时升级杀毒软件病毒库,补齐系统漏洞,上网时确保打开"网页监控"、"邮件监控"功能。
2、 杀毒软件"移动存储接入杀毒"能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,完全保护计算机系统安全。
3、禁用系统的自动播放功能,防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机。
4、建议在登录网游账号、网络银行账户时采用软键盘输入账号及密码。
5、做好局域网的ARP病毒防范工作。
6、用户可以使用" 密保",可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码,全面保护用户私密信息。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)