|
|
|
 |
|
還原卡神話破滅 “機器狗”病毒來勢洶洶
|
|
來源:賽迪 2007-12-14 18:35:48
|
|
一向被認為具有“金剛不壞之身”的硬盤還原卡,目前正遭受來自“機器狗”病毒的嚴重侵襲——一種圖標酷似Sony機器狗“AIBO”病毒程序可以輕松地將其突破,使安裝了還原卡的電腦重啟系統(tǒng)后,病毒仍然存在。中了“機器狗”病毒的電腦還會自動聯(lián)網(wǎng)下載各種病毒木馬,并借助ARP類病毒進行傳播,使其傳播速度成級數(shù)倍增快,很快就造成全網(wǎng)癱瘓。 據(jù)微點反病毒專家介紹,還原卡作為一種簡單易用的管理工具,無論用戶如何“蹂躪”電腦設置和文件,重啟計算機后,系統(tǒng)都會自動還原到被保護時的狀態(tài),因此被廣泛應用在網(wǎng)吧、學校機房。目前,已有眾多使用硬盤還原卡的網(wǎng)吧、學校大面積感染“機器狗”病毒,造成網(wǎng)絡癱瘓,無法正常運行。
記者就“機器狗”病毒為什么能夠輕松突破還原卡這一問題采訪了微點反病毒專家,微點反病毒專家介紹說,一般情況下,安裝還原卡后,只需重啟系統(tǒng)病毒自然就會灰飛煙滅,而機器狗病毒采用的技術手段較為巧妙,病毒的編寫者對還原卡和Windows內(nèi)核機制十分熟悉,通過自動釋放出的內(nèi)核級驅(qū)動程序pcihdd.sys,采用物理直接讀寫方式繞過還原卡的監(jiān)控,感染W(wǎng)indows系統(tǒng)核心的用戶模式引導文件%SystemRoot%\system32\userinit.exe,從而造成還原卡失效。 記者問 “機器狗”病毒為什么對網(wǎng)吧和學校機房影響比較大?微點反病毒專家介紹,在使用還原卡的計算機上安裝的殺毒軟件,不論殺毒軟件是否升級,當計算機開機或重啟后,殺毒軟件就退回到原先的版本,實際上并沒有真正升級。而傳統(tǒng)的殺毒軟件技術滯后于病毒的重大技術缺陷在還原卡環(huán)境下表露無遺,因為受還原卡機制的制約而無法升級特征碼,殺毒軟件在網(wǎng)吧環(huán)境中對“機器狗”病毒的變種幾乎沒有任何查殺能力。所以,“機器狗”病毒對網(wǎng)吧和學校機房影響特別大。近期,微點反病毒專家根據(jù)微點主動防御軟件自動捕獲的樣本分析發(fā)現(xiàn),已捕獲的多種“機器狗”樣本都會自動下載ARP類病毒,ARP病毒能夠瞬間傳遍局域網(wǎng)中所有電腦,對局域網(wǎng)危害極大,正可謂是一機中毒,全網(wǎng)“遇難”。 使用還原卡的用戶如何防范“機器狗”病毒?微點反病毒專家介紹,微點主動防御軟件采用行為監(jiān)控識別病毒的新技術,將其部署在還原卡無法頻繁升級的苛刻環(huán)境中,即使沒有升級也可有效防范“機器狗”病毒及其變種。因此,建議廣大網(wǎng)吧、學校等還原卡用戶安裝微點主動防御軟件,以保護您的計算機免受“機器狗”病毒的肆虐,維護您局域網(wǎng)的正常工作和使用。 |
