發(fā)布：2007/11/26  閱讀：238

“我們網(wǎng)吧出現(xiàn)了一種奇怪的病毒，原來電腦重啟后因為安裝了硬盤保護卡，系統(tǒng)會自動還原，現(xiàn)在硬盤保護卡不管用了，系統(tǒng)文件里出現(xiàn)了一個小狗的圖案，運行也很慢。已經(jīng)有網(wǎng)絡(luò)游戲玩家說在我們網(wǎng)吧丟了游戲帳號，要向我們索賠”，11月22日，一網(wǎng)吧業(yè)主焦急地向江民反病毒工程師反映在他的網(wǎng)吧發(fā)生的奇怪事情，他想知道，到底是什么病毒這么厲害，連硬盤還原卡都不管用了。

　　在提取了病毒樣本后，江民反病毒專家分析認為，該網(wǎng)吧是中了一種名為“機器狗”的新型木馬。該木馬借助ARP病毒大肆傳播，可以突破“冰點還原”等系統(tǒng)還原軟件，還可以突破一些常見的硬盤保護卡，使系統(tǒng)還原保護失效。在突破硬盤保護卡后，該病毒會下載多個惡性網(wǎng)游木馬，盜取常見的網(wǎng)絡(luò)游戲的帳號和密碼，使用戶遭受巨大損失。

　　據(jù)江民反病毒專家介紹，由于網(wǎng)吧的特殊性，許多網(wǎng)吧業(yè)主并不安裝殺毒軟件，而是普遍安裝硬盤還原卡，通過還原系統(tǒng)來保護系統(tǒng)安全。安裝了硬盤還原卡后的電腦，無論玩家在上面電腦上進行了何種操作，重啟電腦后都可以自動恢復(fù)到初始狀態(tài)。許多網(wǎng)吧業(yè)主把硬盤還原卡看成是網(wǎng)吧的安全救星，認為只要安裝了還原卡就可以一勞永逸了，不再采取其它任何安裝措施，“機器狗”病毒正是抓住了網(wǎng)吧業(yè)主的這種心量，在突破了硬盤還原卡后，大肆竊取網(wǎng)絡(luò)游戲玩家的帳號、密碼，使網(wǎng)絡(luò)游戲玩家以及網(wǎng)吧業(yè)主遭受巨大損失。

　　反病毒專家分析，“機器狗”病毒運行后，會在%WinDir%\System32\drivers 目錄下釋放出一個名為pcihdd.sys 的驅(qū)動程序，該文件會接管冰點或者硬盤保護卡對硬盤的讀寫操作，這樣該病毒就破解了還原系統(tǒng)的保護，使冰點、硬盤保護卡實效。接著，該病毒會利用MS06-014和MS07-017系統(tǒng)漏洞和等多個應(yīng)用軟件漏洞，從http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等惡意網(wǎng)址下載多款網(wǎng)游木馬，盜取包括傳奇、魔獸世界、征途、奇跡等多款網(wǎng)游帳號和密碼，嚴重威脅游戲玩家數(shù)字財產(chǎn)的安全。正因為冰點還原軟件和硬盤保護卡大多在網(wǎng)吧使用，因此網(wǎng)吧成為該病毒發(fā)作的重災(zāi)區(qū)。此外，該病毒還會隨ARP病毒傳播，因此對局域網(wǎng)殺傷性極大。

　　針對該病毒，江民科技反病毒中心已經(jīng)及時升級了病毒庫，用戶只要將KV殺毒軟件升級至最新版本，就可以防范查殺此病毒。江民反病毒專家建議廣大用戶采取以下六大措施，防范遭受“機器狗”等病毒侵害。

　　1、及時升級殺毒軟件病毒庫，補齊系統(tǒng)漏洞，上網(wǎng)時確保打開"網(wǎng)頁監(jiān)控"、"郵件監(jiān)控"功能。

　　2、江民殺毒軟件"移動存儲接入殺毒"能杜絕病毒利用移動設(shè)備(如：U盤、移動硬盤等)入侵用戶計算機，完全保護計算機系統(tǒng)安全。

　　3、禁用系統(tǒng)的自動播放功能，防止病毒從U盤、MP3、移動硬盤等移動存儲設(shè)備進入到計算機。

　　4、建議在登錄網(wǎng)游賬號、網(wǎng)絡(luò)銀行賬戶時采用軟鍵盤輸入賬號及密碼。

　　5、做好局域網(wǎng)的ARP病毒防范工作。

　　6、用戶可以使用"江民密保"，可有效保護網(wǎng)上銀行、支付平臺、網(wǎng)上證券交易、網(wǎng)絡(luò)游戲等賬號密碼，全面保護用戶私密信息。