有客戶報稱中毒了。由于電腦安裝了海爾的一鍵還原,點F9還原系統。可是連上網線,卡巴斯基還是一個勁的蹦發現病毒。難道是還原無效了?我在桌面建了幾個文件夾,重啟電腦,還原測試正常。
查看卡巴斯基殺毒記錄,有一個Userinit.exe 的文件被殺,上百度百科搜索一下Userinit.exe,提示Userinit.exe是Windows操作系統一個關鍵進程。用于管理不同的啟動順序,例如在建立網絡鏈接和Windows殼的啟動。然后以Userinit.exe病毒在百度進行一下網頁搜索,老天有不少網友中毒了...
經過連續不斷的搜索,發現“機器狗”病毒采用hook系統的磁盤設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟件硬件還原!基本無法靠還原抵擋。目前已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。機器狗是一個木馬下載器,感染后會自動從網絡上下載木馬、病毒,危及用戶帳號的安全。
機器狗運行后會釋放一個名為PCIHDD.SYS的驅動文件,與原系統中還原軟件驅動進行硬盤控制權的爭奪,并通過替換userinit.exe文件,實現開機啟動。
“機器狗”病毒由于采用了更為先進的傳播方式,其威脅甚至超越了去年的“熊貓燒香”。該病毒會首先通過網頁木馬或U盤傳播方式入侵到電腦中,然后在局域網中通過ARP欺騙等方式進一步的傳播。
#p#副標題#e#
可以采取以下安全策略來加固自己的網絡:
1、由于機器狗病毒是借助于ARP欺騙的方式在局域網中傳播,因此做好ARP欺騙的防范工作十分必要。建議有條件的網吧和企業,采用雙向綁定策略,在交換機或路由器上綁定好全網的IP-MAC地址,在客戶端綁定好網關的IP-MAC。這樣即便是局域網中某臺電腦感染了ARP病毒,該電腦也不會干擾全網的運行。雙向綁定策略是抵御ARP病毒的好辦法。
如果不具備雙向綁定的條件,可以采用劃分VLAN 的方法,來隔離網絡的不同區域,這樣可以把ARP病毒的危害降低到最小。
2、更新好系統漏洞補丁,尤其是網頁木馬常用漏洞:MS06-014和MS07-017。目前根據江民科技反病毒中心惡意網址跟蹤結果來看,發現絕大部分的網頁木馬都是利用以上兩個系統漏洞入侵到計算機中的,因此打好補丁十分關鍵。
MS06-014 中文版系統補丁下載地址:
http://www.microsoft.com/china/t ... letin/MS06-014.mspx
MS06-014 英文版系統補丁下載地址:
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
MS07-017 中文版系統補丁下載地址:
http://www.microsoft.com/china/t ... letin/MS07-017.mspx
MS07-017 英文版系統補丁下載地址:
http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx
3、注意應用軟件版本的及時更新。“機器狗”病毒除了利用以上兩個系統漏洞通過網頁木馬的方式入侵到電腦中,還利用時下最為流行的應用軟件漏洞進行掛馬傳播,例如一些聊天工具漏洞、播放器軟件漏洞、網絡電視軟件漏洞、游戲軟件漏洞、甚至是一些常用的下載工具的漏洞都會成為病毒的傳播途徑。由于應用軟件的用戶群體更為廣泛,這也就成了病毒作者傳播病毒的又一“利器”。因此要注意軟件的版本,一定要使用從官方網站下載的最新版本的軟件,這點十分重要,不要使用老版本,因為老版本還有很多漏洞。
4、禁用Windows系統的自動播放功能。這一點對個人用戶來說同樣重要,由于“機器狗”病毒還會利用U盤傳播,因此如果U盤中含有此病毒時,如果直接雙擊打開U盤,就會激活病毒,從而感染進電腦中。建議用戶通過組策略的方式禁用U盤的自動播放功能。
關閉自動播放功能方法如下:在“開始”菜單的“運行”框中運行“gpedit. msc”命令,在“組策略”找到“計算機配置”和“用戶配置”下的“管理模板”功能,打開其中的“系統”菜單中的“關閉自動播放”的設置,在其屬性里面選擇“已啟用”,接著選擇“所有驅動器”,最后確定保存即可。江民殺毒軟件“移動存儲接入殺毒”能杜絕病毒利用移動設備(如:U盤、移動硬盤等)入侵用戶計算機,保護計算機系統安全。
5、及時升級殺毒軟件病毒庫,上網時確保打開“網頁監控”、“郵件監控”功能。
建議企業級用戶和網吧部署網絡版殺毒軟件,網絡版具有全網統一升級,統一殺毒功能,可以快速徹底清除網絡中的ARP病毒和“機器狗”病毒及其變種。
百度百科 機器狗病毒詞條 地址http://bk.baidu.com/view/1157687.htm
江民機器狗病毒免疫程序下載: http://www.jiangmin.com/download/machinedogpatch.exe
查看卡巴斯基殺毒記錄,有一個Userinit.exe 的文件被殺,上百度百科搜索一下Userinit.exe,提示Userinit.exe是Windows操作系統一個關鍵進程。用于管理不同的啟動順序,例如在建立網絡鏈接和Windows殼的啟動。然后以Userinit.exe病毒在百度進行一下網頁搜索,老天有不少網友中毒了...
經過連續不斷的搜索,發現“機器狗”病毒采用hook系統的磁盤設備棧來達到穿透目的的,危害極大,可穿透目前技術條件下的任何軟件硬件還原!基本無法靠還原抵擋。目前已知的所有還原產品,都無法防止這種病毒的穿透感染和傳播。機器狗是一個木馬下載器,感染后會自動從網絡上下載木馬、病毒,危及用戶帳號的安全。
機器狗運行后會釋放一個名為PCIHDD.SYS的驅動文件,與原系統中還原軟件驅動進行硬盤控制權的爭奪,并通過替換userinit.exe文件,實現開機啟動。
“機器狗”病毒由于采用了更為先進的傳播方式,其威脅甚至超越了去年的“熊貓燒香”。該病毒會首先通過網頁木馬或U盤傳播方式入侵到電腦中,然后在局域網中通過ARP欺騙等方式進一步的傳播。
#p#副標題#e#
可以采取以下安全策略來加固自己的網絡:
1、由于機器狗病毒是借助于ARP欺騙的方式在局域網中傳播,因此做好ARP欺騙的防范工作十分必要。建議有條件的網吧和企業,采用雙向綁定策略,在交換機或路由器上綁定好全網的IP-MAC地址,在客戶端綁定好網關的IP-MAC。這樣即便是局域網中某臺電腦感染了ARP病毒,該電腦也不會干擾全網的運行。雙向綁定策略是抵御ARP病毒的好辦法。
如果不具備雙向綁定的條件,可以采用劃分VLAN 的方法,來隔離網絡的不同區域,這樣可以把ARP病毒的危害降低到最小。
2、更新好系統漏洞補丁,尤其是網頁木馬常用漏洞:MS06-014和MS07-017。目前根據江民科技反病毒中心惡意網址跟蹤結果來看,發現絕大部分的網頁木馬都是利用以上兩個系統漏洞入侵到計算機中的,因此打好補丁十分關鍵。
MS06-014 中文版系統補丁下載地址:
http://www.microsoft.com/china/t ... letin/MS06-014.mspx
MS06-014 英文版系統補丁下載地址:
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
MS07-017 中文版系統補丁下載地址:
http://www.microsoft.com/china/t ... letin/MS07-017.mspx
MS07-017 英文版系統補丁下載地址:
http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx
3、注意應用軟件版本的及時更新。“機器狗”病毒除了利用以上兩個系統漏洞通過網頁木馬的方式入侵到電腦中,還利用時下最為流行的應用軟件漏洞進行掛馬傳播,例如一些聊天工具漏洞、播放器軟件漏洞、網絡電視軟件漏洞、游戲軟件漏洞、甚至是一些常用的下載工具的漏洞都會成為病毒的傳播途徑。由于應用軟件的用戶群體更為廣泛,這也就成了病毒作者傳播病毒的又一“利器”。因此要注意軟件的版本,一定要使用從官方網站下載的最新版本的軟件,這點十分重要,不要使用老版本,因為老版本還有很多漏洞。
4、禁用Windows系統的自動播放功能。這一點對個人用戶來說同樣重要,由于“機器狗”病毒還會利用U盤傳播,因此如果U盤中含有此病毒時,如果直接雙擊打開U盤,就會激活病毒,從而感染進電腦中。建議用戶通過組策略的方式禁用U盤的自動播放功能。
關閉自動播放功能方法如下:在“開始”菜單的“運行”框中運行“gpedit. msc”命令,在“組策略”找到“計算機配置”和“用戶配置”下的“管理模板”功能,打開其中的“系統”菜單中的“關閉自動播放”的設置,在其屬性里面選擇“已啟用”,接著選擇“所有驅動器”,最后確定保存即可。江民殺毒軟件“移動存儲接入殺毒”能杜絕病毒利用移動設備(如:U盤、移動硬盤等)入侵用戶計算機,保護計算機系統安全。
5、及時升級殺毒軟件病毒庫,上網時確保打開“網頁監控”、“郵件監控”功能。
建議企業級用戶和網吧部署網絡版殺毒軟件,網絡版具有全網統一升級,統一殺毒功能,可以快速徹底清除網絡中的ARP病毒和“機器狗”病毒及其變種。
百度百科 機器狗病毒詞條 地址http://bk.baidu.com/view/1157687.htm
江民機器狗病毒免疫程序下載: http://www.jiangmin.com/download/machinedogpatch.exe
