|
|
|
 |
|
還原卡神話破滅 “機器狗”病毒來勢洶洶
|
|
來源:賽迪 2007-12-14 18:35:48
|
|
一向被認為具有“金剛不壞之身”的硬盤還原卡,目前正遭受來自“機器狗”病毒的嚴重侵襲——一種圖標酷似Sony機器狗“AIBO”病毒程序可以輕松地將其突破,使安裝了還原卡的電腦重啟系統后,病毒仍然存在。中了“機器狗”病毒的電腦還會自動聯網下載各種病毒木馬,并借助ARP類病毒進行傳播,使其傳播速度成級數倍增快,很快就造成全網癱瘓。 據微點反病毒專家介紹,還原卡作為一種簡單易用的管理工具,無論用戶如何“蹂躪”電腦設置和文件,重啟計算機后,系統都會自動還原到被保護時的狀態,因此被廣泛應用在網吧、學校機房。目前,已有眾多使用硬盤還原卡的網吧、學校大面積感染“機器狗”病毒,造成網絡癱瘓,無法正常運行。
記者就“機器狗”病毒為什么能夠輕松突破還原卡這一問題采訪了微點反病毒專家,微點反病毒專家介紹說,一般情況下,安裝還原卡后,只需重啟系統病毒自然就會灰飛煙滅,而機器狗病毒采用的技術手段較為巧妙,病毒的編寫者對還原卡和Windows內核機制十分熟悉,通過自動釋放出的內核級驅動程序pcihdd.sys,采用物理直接讀寫方式繞過還原卡的監控,感染Windows系統核心的用戶模式引導文件%SystemRoot%\system32\userinit.exe,從而造成還原卡失效。 記者問 “機器狗”病毒為什么對網吧和學校機房影響比較大?微點反病毒專家介紹,在使用還原卡的計算機上安裝的殺毒軟件,不論殺毒軟件是否升級,當計算機開機或重啟后,殺毒軟件就退回到原先的版本,實際上并沒有真正升級。而傳統的殺毒軟件技術滯后于病毒的重大技術缺陷在還原卡環境下表露無遺,因為受還原卡機制的制約而無法升級特征碼,殺毒軟件在網吧環境中對“機器狗”病毒的變種幾乎沒有任何查殺能力。所以,“機器狗”病毒對網吧和學校機房影響特別大。近期,微點反病毒專家根據微點主動防御軟件自動捕獲的樣本分析發現,已捕獲的多種“機器狗”樣本都會自動下載ARP類病毒,ARP病毒能夠瞬間傳遍局域網中所有電腦,對局域網危害極大,正可謂是一機中毒,全網“遇難”。 使用還原卡的用戶如何防范“機器狗”病毒?微點反病毒專家介紹,微點主動防御軟件采用行為監控識別病毒的新技術,將其部署在還原卡無法頻繁升級的苛刻環境中,即使沒有升級也可有效防范“機器狗”病毒及其變種。因此,建議廣大網吧、學校等還原卡用戶安裝微點主動防御軟件,以保護您的計算機免受“機器狗”病毒的肆虐,維護您局域網的正常工作和使用。 |
