查杀IMG病毒的常用方法及防范心得
来源:IT168 更新时间:2008-01-17
一直以来,网吧客户机凭借还原卡或诸如Deepfreeze(俗称“冰点”)、还原精灵等还原措施的保护,轻松躲过了诸多病毒灾难的浩劫。然而,臭名昭著的“机器狗”病毒的出现,不仅打破了还原卡是网吧操作系统保护神的说法,也让众多网吧技术人员手忙脚乱。至今,防范“机器狗”病毒尚没有完善成熟的方案,IMG病毒又大军来袭,网吧成为顽固病毒的泛滥之地。由于IMG病毒不仅可以破坏网吧的还原系统,还具有ARP病毒的破坏能力,如何查杀IMG病毒并防范成为网吧的一大技术难题。下面,笔者简单叙述一下查杀IMG病毒的常用方法和防范心得。

    全面了解IMG病毒的几大特征
    对于凶猛的IMG病毒,目前杀毒软件仅仅能够识别该病毒,而不能在保证系统正常运行的基础上将该病毒删除,这意味着对付IMG病毒只能用手工方法查杀,或者是用技术手段防范IMG病毒感染网吧客户机。要想查杀病毒,必须认清病毒的本质,杀毒软件的工作原来亦是如此。下面,我们不妨看一下IMG病毒的真面目,并找出其弱点。

    其实,IMG病毒与此前流行的“机器狗”病毒有着一些相似,只要用户点击了带有病毒的WEB页面,机器将会感染IMG病毒。感染了IMG病毒的机器还会自动下载带有ARP欺骗代码的盗号木马,而且可以穿透市面上大部分还原系统。具体来说,IMG病毒主要有以下几个特征:图一


    IMG病毒的特征

    1、破坏还原系统:如同肆虐疯狂的“机器狗”病毒一样,IMG病毒也是通过userinit.exe文件穿透还原系统。目前,IMG病毒可以破坏市面上大部分还原系统,包括硬件类的还原卡,以及诸如Deepfreeze、还原精灵、虚拟还原等各种还原软件。在成功穿透还原软件或还原卡之后,IMG病毒还会再次修改还原软件,并将病毒自身存储在操作系统中,从而完成传播过程。

    2、生成IGM进程:当计算机感染了IMG病毒之后,系统进程中会生成一个名字为“IGM.EXE”的进程,磁盘分区也会有auto.exe和autorun.inf两个文件。在msconfig的启动项中,也会有IGM.EXE。IMG病毒还具备自动启动和自我保护的特点,这为手工清除IMG病毒增加了一定的难度。

    3、自动下载木马软件:当IMG病毒进入操作系统之后,会自动登录互联网,下载木马软件。目前,IMG病毒会自动下载盗号软件,以及一些破坏类的木马软件。下载盗号软件之后,通过ARP欺骗盗取网吧顾客的游戏帐号资料,以及诸如QQ、MSN等即时通讯软件的密码;而破坏类的木马软件,则是不断向整个网络发送数据包,致使网络阻塞,达到让网吧网络瘫痪的目的。

    4、生成系统服务:感染了IMG病毒的电脑,还会在系统的msconfig选项中生成一个名字为“4f506c9e”的服务,该服务随操作系统自动运行。

    从IMG病毒的特征可以看出,该病毒与“机器狗”病毒实在是太像了。其实,破坏还原系统的方式,IMG病毒和“机器狗”是异曲同工之妙。下面,我们不妨寻找一下IMG病毒的弱点,这样才能对症下药,消灭IMG病毒。

通过特征寻找IMG病毒的弱点
    可以破坏市面上大部分还原卡和还原软件,这是IMG病毒的破坏力,但并不是其弱点。对于“机器狗”或IMG这样破坏力非常强的病毒,我们所做的是全面防范,而不是等病毒进入操作系统之后,再设法查杀。

    对于破坏力非常强大的IMG病毒来说,其传播途径就是其弱点。下面,我们不妨耐心的寻找IMG病毒的传播途径。目前,IMG病毒的常用传播渠道,一是利用MSN、QQ等即时通讯软件,二是利用一些含有恶意代码的网页。国内权威的杀毒软件厂商对IMG病毒进行研究后发现,IMG病毒与“机器狗”病毒一样,也是通过IE浏览器及一些应用软件的漏洞进行传播的。被IMG病毒利用的漏洞有如下几个:

    1、微软的MS07-017漏洞:最初,“机器狗”病毒是利用该漏洞进行传播的。查看微软的安全公告可以得知,一些病毒会利用操作系统的ANI漏洞加载木马,而这一过程恰恰是病毒作者对微软操作系统MS07-017漏洞的“巧妙”应用。如果网吧机器没有安装MS07-017补丁,一旦访问了病毒代码,IMG病毒便会不请自来。众所周知,一些网站多多少少都会有漏洞,既便是一些大网站,也会有漏洞,病毒作者在网站植入病毒代码之后,没有安装MS07-017补丁的机器就会感染IMG病毒。图二


    MS07-017安全漏洞简介

    2、MS06-014漏洞:这个漏洞是很多网管都熟悉的一个系统漏洞,即让IE自动下载一个软件并执行。如果系统存在该漏洞的话,一旦计算机访问到带有IMG病毒代码的网页,会利用IE浏览器的自动下载并执行的漏洞,就这样,IMG病毒成功的进入计算机了。

    在网吧的应用环境中,通过IE浏览器上网是每台计算机都有的操作,这无疑加大了感染IMG病毒的机率。由于IMG病毒是通过恶意代码进行传播的,也就是说,凡是可以执行网页代码的应用软件,都有可能成为IMG病毒的传播渠道。

    3、应用软件的漏洞:暴风影音II是使用比较频繁的一个多媒体应用软件,该软件有一个高风险漏洞,成为IMG病毒传播的一个通道。暴风影音II的漏洞发生在一个activex控件上,当安装了暴风影音II的用户在浏览黑客 精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。除了暴风影音II之外,Web迅雷、迅雷及Realplayer都该漏洞。仔细观察不难发现,上述应用软件中都内置了可以浏览网页的组件,也就是说,应用软件的漏洞,最终还是IE漏洞引起的。

    显然,IMG病毒与“机器狗”病毒如出一辙,都是利用IE浏览器的漏洞及一些应用软件的漏洞进行传播的。试想,IMG病毒虽然可以穿透还原系统,而且可以自动下载木马,可是,如果把IMG病毒的传播途径切断,IMG病毒的破坏力又从何而来呢?切断传播途径,成为了消灭IMG病毒的方向。