一向被認(rèn)為具有“金剛不壞之身”的硬盤還原卡,目前正遭受來自“機(jī)器狗”病毒的嚴(yán)重侵襲——一種圖標(biāo)酷似Sony機(jī)器狗“AIBO”病毒程序可以輕松地將其突破,使安裝了還原卡的電腦重啟系統(tǒng)后,病毒仍然存在。中了“機(jī)器狗”病毒的電腦還會自動聯(lián)網(wǎng)下載各種病毒木馬,并借助ARP類病毒進(jìn)行傳播,使其傳播速度成級數(shù)倍增快,很快就造成全網(wǎng)癱瘓。
據(jù)微點(diǎn)反病毒專家介紹,還原卡作為一種簡單易用的管理工具,無論用戶如何“蹂躪”電腦設(shè)置和文件,重啟計算機(jī)后,系統(tǒng)都會自動還原到被保護(hù)時的狀態(tài),因此被廣泛應(yīng)用在網(wǎng)吧、學(xué)校機(jī)房。目前,已有眾多使用硬盤還原卡的網(wǎng)吧、學(xué)校大面積感染“機(jī)器狗”病毒,造成網(wǎng)絡(luò)癱瘓,無法正常運(yùn)行。
機(jī)器狗圖標(biāo)(圖)
記者就“機(jī)器狗”病毒為什么能夠輕松突破還原卡這一問題采訪了微點(diǎn)反病毒專家,微點(diǎn)反病毒專家介紹說,一般情況下,安裝還原卡后,只需重啟系統(tǒng)病毒自然就會灰飛煙滅,而機(jī)器狗病毒采用的技術(shù)手段較為巧妙,病毒的編寫者對還原卡和Windows內(nèi)核機(jī)制十分熟悉,通過自動釋放出的內(nèi)核級驅(qū)動程序pcihdd.sys,采用物理直接讀寫方式繞過還原卡的監(jiān)控,感染W(wǎng)indows系統(tǒng)核心的用戶模式引導(dǎo)文件%SystemRoot%\system32\userinit.exe,從而造成還原卡失效。
記者問 “機(jī)器狗”病毒為什么對網(wǎng)吧和學(xué)校機(jī)房影響比較大?微點(diǎn)反病毒專家介紹,在使用還原卡的計算機(jī)上安裝的殺毒軟件,不論殺毒軟件是否升級,當(dāng)計算機(jī)開機(jī)或重啟后,殺毒軟件就退回到原先的版本,實際上并沒有真正升級。而傳統(tǒng)的殺毒軟件技術(shù)滯后于病毒的重大技術(shù)缺陷在還原卡環(huán)境下表露無遺,因為受還原卡機(jī)制的制約而無法升級特征碼,殺毒軟件在網(wǎng)吧環(huán)境中對“機(jī)器狗”病毒的變種幾乎沒有任何查殺能力。所以,“機(jī)器狗”病毒對網(wǎng)吧和學(xué)校機(jī)房影響特別大。近期,微點(diǎn)反病毒專家根據(jù)微點(diǎn)主動防御軟件自動捕獲的樣本分析發(fā)現(xiàn),已捕獲的多種“機(jī)器狗”樣本都會自動下載ARP類病毒,ARP病毒能夠瞬間傳遍局域網(wǎng)中所有電腦,對局域網(wǎng)危害極大,正可謂是一機(jī)中毒,全網(wǎng)“遇難”。
使用還原卡的用戶如何防范“機(jī)器狗”病毒?微點(diǎn)反病毒專家介紹,微點(diǎn)主動防御軟件采用行為監(jiān)控識別病毒的新技術(shù),將其部署在還原卡無法頻繁升級的苛刻環(huán)境中,即使沒有升級也可有效防范“機(jī)器狗”病毒及其變種。因此,建議廣大網(wǎng)吧、學(xué)校等還原卡用戶安裝微點(diǎn)主動防御軟件,以保護(hù)您的計算機(jī)免受“機(jī)器狗”病毒的肆虐,維護(hù)您局域網(wǎng)的正常工作和使用。 |