有客户报称中毒了。由于电脑安装了海尔的一键还原,点F9还原系统。可是连上网线,卡巴斯基还是一个劲的蹦发现病毒。难道是还原无效了?我在桌面建了几个文件夹,重启电脑,还原测试正常。
查看卡巴斯基杀毒记录,有一个Userinit.exe 的文件被杀,上百度百科搜索一下Userinit.exe,提示Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。然后以Userinit.exe病毒在百度进行一下网页搜索,老天有不少网友中毒了...
经过连续不断的搜索,发现“机器狗”病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。
机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。
“机器狗”病毒由于采用了更为先进的传播方式,其威胁甚至超越了去年的“熊猫烧香”。该病毒会首先通过网页木马或U盘传播方式入侵到电脑中,然后在局域网中通过ARP欺骗等方式进一步的传播。
#p#副标题#e#
可以采取以下安全策略来加固自己的网络:
1、由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播,因此做好ARP欺骗的防范工作十分必要。建议有条件的网吧和企业,采用双向绑定策略,在交换机或路由器上绑定好全网的IP-MAC地址,在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒,该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。
如果不具备双向绑定的条件,可以采用划分VLAN 的方法,来隔离网络的不同区域,这样可以把ARP病毒的危害降低到最小。
2、更新好系统漏洞补丁,尤其是网页木马常用漏洞:MS06-014和MS07-017。目前根据江民科技反病毒中心恶意网址跟踪结果来看,发现绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的,因此打好补丁十分关键。
MS06-014 中文版系统补丁下载地址:
http://www.microsoft.com/china/t ... letin/MS06-014.mspx
MS06-014 英文版系统补丁下载地址:
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址:
http://www.microsoft.com/china/t ... letin/MS07-017.mspx
MS07-017 英文版系统补丁下载地址:
http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx
3、注意应用软件版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网页木马的方式入侵到电脑中,还利用时下最为流行的应用软件漏洞进行挂马传播,例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛,这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本,一定要使用从官方网站下载的最新版本的软件,这点十分重要,不要使用老版本,因为老版本还有很多漏洞。
4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要,由于“机器狗”病毒还会利用U盘传播,因此如果U盘中含有此病毒时,如果直接双击打开U盘,就会激活病毒,从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。
关闭自动播放功能方法如下:在“开始”菜单的“运行”框中运行“gpedit. msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,保护计算机系统安全。
5、及时升级杀毒软件病毒库,上网时确保打开“网页监控”、“邮件监控”功能。
建议企业级用户和网吧部署网络版杀毒软件,网络版具有全网统一升级,统一杀毒功能,可以快速彻底清除网络中的ARP病毒和“机器狗”病毒及其变种。
百度百科 机器狗病毒词条 地址http://bk.baidu.com/view/1157687.htm
江民机器狗病毒免疫程序下载: http://www.jiangmin.com/download/machinedogpatch.exe
查看卡巴斯基杀毒记录,有一个Userinit.exe 的文件被杀,上百度百科搜索一下Userinit.exe,提示Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。然后以Userinit.exe病毒在百度进行一下网页搜索,老天有不少网友中毒了...
经过连续不断的搜索,发现“机器狗”病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。
机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。
“机器狗”病毒由于采用了更为先进的传播方式,其威胁甚至超越了去年的“熊猫烧香”。该病毒会首先通过网页木马或U盘传播方式入侵到电脑中,然后在局域网中通过ARP欺骗等方式进一步的传播。
#p#副标题#e#
可以采取以下安全策略来加固自己的网络:
1、由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播,因此做好ARP欺骗的防范工作十分必要。建议有条件的网吧和企业,采用双向绑定策略,在交换机或路由器上绑定好全网的IP-MAC地址,在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒,该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。
如果不具备双向绑定的条件,可以采用划分VLAN 的方法,来隔离网络的不同区域,这样可以把ARP病毒的危害降低到最小。
2、更新好系统漏洞补丁,尤其是网页木马常用漏洞:MS06-014和MS07-017。目前根据江民科技反病毒中心恶意网址跟踪结果来看,发现绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的,因此打好补丁十分关键。
MS06-014 中文版系统补丁下载地址:
http://www.microsoft.com/china/t ... letin/MS06-014.mspx
MS06-014 英文版系统补丁下载地址:
http://www.microsoft.com/technet/security/Bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址:
http://www.microsoft.com/china/t ... letin/MS07-017.mspx
MS07-017 英文版系统补丁下载地址:
http://www.microsoft.com/technet/security/bulletin/MS07-017.mspx
3、注意应用软件版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网页木马的方式入侵到电脑中,还利用时下最为流行的应用软件漏洞进行挂马传播,例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛,这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本,一定要使用从官方网站下载的最新版本的软件,这点十分重要,不要使用老版本,因为老版本还有很多漏洞。
4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要,由于“机器狗”病毒还会利用U盘传播,因此如果U盘中含有此病毒时,如果直接双击打开U盘,就会激活病毒,从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。
关闭自动播放功能方法如下:在“开始”菜单的“运行”框中运行“gpedit. msc”命令,在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能,打开其中的“系统”菜单中的“关闭自动播放”的设置,在其属性里面选择“已启用”,接着选择“所有驱动器”,最后确定保存即可。江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备(如:U盘、移动硬盘等)入侵用户计算机,保护计算机系统安全。
5、及时升级杀毒软件病毒库,上网时确保打开“网页监控”、“邮件监控”功能。
建议企业级用户和网吧部署网络版杀毒软件,网络版具有全网统一升级,统一杀毒功能,可以快速彻底清除网络中的ARP病毒和“机器狗”病毒及其变种。
百度百科 机器狗病毒词条 地址http://bk.baidu.com/view/1157687.htm
江民机器狗病毒免疫程序下载: http://www.jiangmin.com/download/machinedogpatch.exe
