提起“机器狗”病毒,相信每一位工作在网吧的技术人员对此病毒都是恨的牙根疼。数月时间过去了,仍有众多网吧饱受“机器狗”病毒流行的困扰,“机器狗”病毒的横行无疑是中国网吧有史以来遭受的最最沉重打击。可是,肆虐横行的“机器狗”病毒果真无法彻底消灭吗?
如同消灭其泛滥的病毒一样,要想彻底消灭“机器狗”病毒,必须找清该病毒的漏洞,这是能否消灭“机器狗”病毒的关键所在。不过,目前很多防范“机器狗”病毒的方法并没有切中要害,造成了“机器狗”病毒难以消灭的假象。下面,笔者将自己查杀与防范“机器狗”病毒的一些技巧和心得写出来,分享给各位读者。
要消灭病毒必须全面了解病毒
兵法有云“知己知彼,百战不殆”,消灭病毒亦是如此,一味盲目的制订杀毒措施,效果自然大打折扣。为此,在制订查杀“机器狗”病毒的相关策略之前,必须先了解该病毒的特点,传播方式,并从中找出病毒的弱点或漏洞。
对于“机器狗”病毒的历史,相信一些资深的网吧技术人士会有比较深的了解。早在2004年的时候,有人曾在某网吧权威论坛中狂言写出了穿透Deepfreeze(笔者注:俗称“冰点”)和各种还原卡的病毒。三年之后,即2007年的8月的某一天,狂言成为了现实,仍旧在该人士狂言的论坛中,出现了“机器狗”病毒的样本。该病毒当时并没有名字,由于其图标像索尼的机器狗“阿宝”,论坛的人士给该病毒取了一个非常生动的名字“机器狗”。随后,“机器狗”病毒迅速传播,数万家网吧深受其害。
图一索尼机器狗成病毒图标
“机器狗”病毒的作者将病毒代码植入一些网站,然后通过QQ、IE浏览器及邮件等途径进行传播。一旦用户点击了含有病毒代码的链接,“机器狗”病毒会自动下载,然后在硬盘上释放文件。随后,“机器狗”病毒会通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权,并修改用户初始化文件userinit.exe来实现隐藏自身的目的。由于病毒自动保存在系统中后,会定期从指定的网站下载各种木马程序,以截取上网用户的网络游戏帐号信息。
最初,网吧的电脑感染了“机器狗”病毒之后,会威胁用户的帐号安全,因为病毒会自动下载一些盗号木马。不久之后,“机器狗”病毒有了新变种,该变种可以自动下载ARP欺骗病毒,这就是后来流行的“IMG病毒”。更重要的是,“机器狗”病毒的新变种会对userinit.exe进行加密,并且对userinit.exe进行了加壳处理,使病毒具有更强的隐蔽性,致使一些免疫补丁对于“机器狗”的新变种失去了防范作用。
截至目前,“机器狗”病毒仍有新的变种产生。一个新变种的产生,则意味着部分防范措施将失效,如何防范“机器狗”病毒成为困扰网管的一个大难题。要想消灭“机器狗”病毒,必须仔细研究该病毒的各个变种,可以找出病毒的传播途径和弱点,这也是消灭该病毒需要努力的方向。