来源:赛迪网 更新时间:2012-04-13
五步远离机器狗病毒侵扰 IvRNU!
继“熊猫烧香”之后,一种名为“机器狗”的恶性计算机病毒正在公用网络蔓延。这是第一种可以穿透硬盘“还原卡”保护功能的病毒,因为其图标酷似Sony机器狗“AIBO”而被称为“机器狗”病毒。 “机器狗”病毒会自动从互联网下载各种病毒木马,并借助ARP病毒以几何级数增长速度传播,用户应尽快采取措施,防止其造成网络大面积瘫痪。 ,)7*z,-
在此前已知的病毒,对“还原卡”都无可奈何。但“机器狗”病毒通过自动释放驱动程序pcihdd.sys,可以采用物理直接读写方式绕过“还原卡”监控,感染Windows系统核心文件%SystemRoot%/system32/userinit.exe(可根据此文件的版本信息来判断,如果可以正常显示版本信息则证明一切正常,反之就肯定是“中招儿了”),从而穿透“还原卡”,造成系统重启后仍处于被病毒感染状态。同时,在“还原卡”环境下,传统杀毒软件不论是否升级,计算机重新启动后仍会退回到原先的版本,对“机器狗”病毒变种几乎没有查杀能力。更令人担忧的是,目前大多数所谓具有主动防御功能的杀毒软件,也不能对“机器狗”进行有效防范,公用网络面临着新的安全威胁。 `sA0(Z$
解决办法: 0^3"6@4r
1、由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播,因此做好ARP欺骗的防范工作十分必要。建议有条件的网吧和企业,采用双向绑定策略,在交换机或路由器上绑定好全网的IP-MAC地址,在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒,该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。如果不具备双向绑定的条件,可以采用划分VLAN 的方法,来隔离网络的不同区域,这样可以把ARP病毒的危害降低到最小。 O%]83Wf$
2、更新好系统漏洞补丁,尤其是网页木马常用漏洞:MS06-014和MS07-017。目前根 Xi)(~
据江民科技反病毒中心恶意网址跟踪结果来看,发现绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的,因此打好补丁十分关键。 ] znX&iOY
MS06-014 中文版系统补丁下载地址: 8H66@E$w
http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx G>lmaVI &C
MS06-014 英文版系统补丁下载地址: g/7~6^uf
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx 0A3/>)
MS07-017 中文版系统补丁下载地址: 9l;^A1
http://www.microsoft.com/china/technet/security/bulletin/MS07-017.mspx "EK5/{\L`
MS07-017 英文版系统补丁下载地址: a].lQOMN
http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx Gz+YT^n
3、注意应用软件版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网 y HGj&'c1?
页木马的方式入侵到电脑中,还利用时下最为流行的应用软件漏洞进行挂马传播,例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛,这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本,一定要使用从官方网站下载的最新版本的软件,这点十分重要,不要使用老版本,因为老版本还有很多漏洞。 _v!"KlpJ
4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要,由于“机器 U"5Mu223
狗”病毒还会利用U盘传播,因此如果U盘中含有此病毒时,如果直接双击打开U盘,就会激活病毒,从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。 Oz-_4u=Hf
关闭自动播放功能方法如下:在“开始”菜单的“运行”框中运行“gpedit. msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,保护计算机系统安全。 3QLAr
5、及时升级杀毒软件病毒库,上网时确保打开“网页监控”、“邮件监控”功能。 LlT~T92
J#e t|XdC