| 〖文章分类:电脑·手机·网络 / 行业消息〗〖阅读选项〗 |
|
目前网上流传一种叫做机器狗的病毒,此病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡。目前已知的所有还原产品,都无法防止这种病毒的穿透感染和传播。
顺便说一句,这个病毒从技术上来说,可以大胆的猜测应该是还原业内人士开发研制的,这种技术的应用极为少见,且如果精通这种技术的高手要做病毒不会用这种hook系统的磁盘设备栈的方式,完全可以有更强更好的方式达到彻底毁灭还原行业的方法;所以这个病毒应该是针对现在99%还原产品做的病毒,以达到不可告人的目标;在此我们强烈谴责那些毫无技术道德的卑鄙团队和个人,给还原和网吧行业带来极大的灾难和痛苦,真心希望以后不要再发生这样类似的事情了。
很遗憾的告诉大家,目前已知的还原软件和还原卡包括我们的还原也无法抵抗这种还原的穿透。我们已经测试过冰点全系列,还原精灵。各类还原卡,以及其他网吧行业软件自带的还原,都无法防止这种病毒的感染。根据我们对这个病毒源码的分析来看,网吧可能即将面临病毒、盗号的高峰;恐怕目前大家最好做好最坏的思想准备吧,不要报任何侥幸心理,目前我们没有发现任何还原产品或者技术可以对付这个病毒。准备迎接网吧的恶梦到来,同时希望大家能在这个专贴发表自己的感想和解决方法,希望能集思广益一起解决这个垃圾病毒。
此病毒特点如下:文件名为 explorer.exe,图标为一只机器狗
只要中毒那么就会修改 userinit.exe 文件。而且这个文件的大小和时间都不会变,唯一改变的就是文件内容,所以如果想知道是不是穿透了必须对比感染前后的 userinit.exe 的文件内容,才能对比出来。并且此文件会实现彻底的隐蔽开机启动。也就是说病毒不会在你运行之后立刻添加自启动项里的N多木马,而是在重起后,利用 userinit.exe 进程来从网络上下载木马。目前的临时解决方案:
一是在路由上封IP:
ROS脚本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net/cert.cer action=reject comment="DF6.0"
add chain=forward content=www.tomwg.com/mm/mm.jpg action=reject
add chain=forward content=www.tomwg.com/mm/wow.jpg action=reject
add chain=forward content=www.tomwg.com/mm/mh011.jpg action=reject
add chain=forward content=www.tomwg.com/mm/zt.jpg action=reject
add chain=forward content=www.tomwg.com/mm/wl.jpg action=reject
add chain=forward content=www.tomwg.com/mm/wd.jpg action=reject
add chain=forward content=www.tomwg.com/mm/tl.jpg action=reject
add chain=forward content=www.tomwg.com/mm/dh3.jpg action=reject
二是在c:\windows\system32\drivers下建立免疫文件:pcihdd.sys ,今天最新的免疫列表已经加入这个文件的免疫。3、把他要修改的文件在做母盘的时候,就加壳并替换。
我们相信以上的方法都无法彻底防御此类病毒,个别客户如果下载了样本,运行后没发现中毒,也不用侥幸,因为这个病毒目前技术还不完善,可能存在硬件兼容问题,在一些芯片组上无法穿透,你可以换个环境或者多运行机器相信还是会发现我们说的现象的!但是我们相信病毒作者肯定会完善和处理大家想出来的临时解决方法。所以想要彻底解决这个病毒,就得大家一起想办法才能彻底解决。
|
| 文章作者:未知 更新日期:2007-10-26 |
| 〖文章浏览:〗〖打印文章〗〖发送文章〗 |
|
|
|
本 站 搜 索
文 章 阅 读 排 行
文 章 信 息