江民科技--网吧频遭离奇病毒袭击 “机器狗”新变种被截获 (简体)
以下是内文:
------------------------------------------------------------------
“我们网吧出现了一种奇怪的病毒,原来电脑重启后因为安装了硬盘保护卡,系统会自动还原,现在硬盘保护卡不管用了,系统文件里出现了一个小狗的图案,运行也很慢。已经有网络游戏玩家说在我们网吧丢了游戏帐号,要向我们索赔”,11月22日,一网吧业主焦急地向江民反病毒工程师反映在他的网吧发生的奇怪事情,他想知道,到底是什么病毒这么厉害,连硬盘还原卡都不管用了。
在提取了病毒样本后,江民反病毒专家分析认为,该网吧是中了一种名为“机器狗”的新型木马变种。该木马借助ARP病毒大肆传播,可以突破“冰点还原”等系统还原软件,还可以突破一些常见的硬盘保护卡,使系统还原保护失效。在突破硬盘保护卡后,该病毒会下载多个恶性网游木马,盗取常见的网络游戏的帐号和密码,使用户遭受巨大损失。
据江民反病毒专家介绍,由于网吧的特殊性,许多网吧业主并不安装杀毒软件,而是普遍安装硬盘还原卡,通过还原系统来保护系统安全。安装了硬盘还原卡后的电脑,无论玩家在上面电脑上进行了何种操作,重启电脑后都可以自动恢复到初始状态。许多网吧业主把硬盘还原卡看成是网吧的安全救星,认为只要安装了还原卡就可以一劳永逸了,不再采取其它任何安装措施,“机器狗”病毒正是抓住了网吧业主的这种心量,在突破了硬盘还原卡后,大肆窃取网络游戏玩家的帐号、密码,使网络游戏玩家以及网吧业主遭受巨大损失。
反病毒专家分析,“机器狗”病毒运行后,会在%WinDir%\System32\drivers目录下释放出一个名为pcihdd.sys的驱动程序,该文件会接管冰点或者硬盘保护卡对硬盘的读写操作,这样该病毒就破解了还原系统的保护,使冰点、硬盘保护卡实效。接着,该病毒会利用MS06- 014和MS07-017系统漏洞和等多个应用软件漏洞,从h ttp://xx.exiao***.com/ 、h ttp://www.h***.biz / 、h ttp://www.xqh***.com/等恶意网址下载多款网游木马,盗取包括传奇、魔兽世界、征途、奇迹等多款网游帐号和密码,严重威胁游戏玩家数字财产的安全。正因为冰点还原软件和硬盘保护卡大多在网吧使用,因此网吧成为该病毒发作的重灾区。此外,该病毒还会随ARP病毒传播,因此对局域网杀伤性极大。