一向被认为具有“金刚不坏之身”的硬盘还原卡,目前正遭受来自“机器狗”病毒的严重侵袭——一种图标酷似Sony机器狗“AIBO”病毒程序可以轻松地将其突破,使安装了还原卡的电脑重启系统后,病毒仍然存在。中了“机器狗”病毒的电脑还会自动联网下载各种病毒木马,并借助ARP类病毒进行传播,使其传播速度成级数倍增快,很快就造成全网瘫痪。
据微点反病毒专家介绍,还原卡作为一种简单易用的管理工具,无论用户如何“蹂躏”电脑设置和文件,重启计算机后,系统都会自动还原到被保护时的状态,因此被广泛应用在网吧、学校机房。目前,已有众多使用硬盘还原卡的网吧、学校大面积感染“机器狗”病毒,造成网络瘫痪,无法正常运行。
机器狗图标(图)
记者就“机器狗”病毒为什么能够轻松突破还原卡这一问题采访了微点反病毒专家,微点反病毒专家介绍说,一般情况下,安装还原卡后,只需重启系统病毒自然就会灰飞烟灭,而机器狗病毒采用的技术手段较为巧妙,病毒的编写者对还原卡和Windows内核机制十分熟悉,通过自动释放出的内核级驱动程序pcihdd.sys,采用物理直接读写方式绕过还原卡的监控,感染Windows系统核心的用户模式引导文件%SystemRoot%\system32\userinit.exe,从而造成还原卡失效。
记者问 “机器狗”病毒为什么对网吧和学校机房影响比较大?微点反病毒专家介绍,在使用还原卡的计算机上安装的杀毒软件,不论杀毒软件是否升级,当计算机开机或重启后,杀毒软件就退回到原先的版本,实际上并没有真正升级。而传统的杀毒软件技术滞后于病毒的重大技术缺陷在还原卡环境下表露无遗,因为受还原卡机制的制约而无法升级特征码,杀毒软件在网吧环境中对“机器狗”病毒的变种几乎没有任何查杀能力。所以,“机器狗”病毒对网吧和学校机房影响特别大。近期,微点反病毒专家根据微点主动防御软件自动捕获的样本分析发现,已捕获的多种“机器狗”样本都会自动下载ARP类病毒,ARP病毒能够瞬间传遍局域网中所有电脑,对局域网危害极大,正可谓是一机中毒,全网“遇难”。
使用还原卡的用户如何防范“机器狗”病毒?微点反病毒专家介绍,微点主动防御软件采用行为监控识别病毒的新技术,将其部署在还原卡无法频繁升级的苛刻环境中,即使没有升级也可有效防范“机器狗”病毒及其变种。因此,建议广大网吧、学校等还原卡用户安装微点主动防御软件,以保护您的计算机免受“机器狗”病毒的肆虐,维护您局域网的正常工作和使用。 | 
发表于 2007-12-8 18:54:22
