机器狗病毒

新客网 XKER.COM 2007-10-30 收藏本文

该病毒为一个木马下载器，病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡，可通过以下几方面查看是否已中毒.
激发病毒后会在SYSTEM32下修改userinit.exe ，可通过查看版本信息看出，查看DRVERS目录下产生pcihdd.sys驱动文件，会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项，并在windows目录会产生以上相应文件，机器重启后以上设置都会真实保存.
问：我们是怎么来防御的？
通过禁止文件访问的形式来禁止病毒的运行，可自由设置配置文件并方便的加入到客户机启动运行列表项，具体操作如下:
一、驱动内核层防御：( 从原理上防御 )
.. 针对机器狗病毒对网吧业带来的巨大影响，强者公司经过日夜奋战，终于反编译了该木马大部分代码，提供机器狗病毒的终级解决方案，本着对用户负责的态度，现维护系统免费加入“驱动内核级”机器狗病毒防御，彻底杜绝机器狗病毒包括其变种的破坏.
关键它是完全免费的.
二、禁止文件访问法：( 初级防御)
1．下载 "机器狗病毒防御补丁点击下载" , 把UnCracker.exe和UnCracker.ini两个文件放在服务端的一个共享目录下,（如：\\qzse\netgame1），并保证在客户机可以正常访问这个路径；
2．打开服务端主控制器在随意哪台客户机上点右键-à运行工作站命令,加上如上形象图中所设置的工作站每次启动运行列表:

3．编辑UnCracker.ini文件，如下所述：
[system]
1=c:\windows\hh.exe
2=…
[nosystem]
1=C:\WINDOWS\system32\drivers\pcihdd.sys(可防机器狗病毒)
2=d:\command.com
3=d:\Iexplores.exe
以上内容可以根据用户需求自由添加,如防止arp运行时可在配置中加入"c:\windows\system32\drivers\npf.sys","c:\windows\system32\packet.dll",
"c:\windows\system32\pthreadVC.dll","c:\windows\system32\wpcap.dll".

• ·Tareas MSD
• ·人才交流档案管理系统
• ·米普办公设备管理系统2007
• ·网科OA
• ·观辰协同办公管理信息系统
• ·Evolution
• ·佳宜合同管理软件
• ·佳宜设备管理软件
• ·NTKO安全签名印章系统
• ·卫软之星办公自动化
• ·维克设备管理软件
• ·卫软之星数字化实验室网络信息管理系统
• ·超想电子表格
• ·里诺会员管理软件
• ·易人PR统计系统
• ·新简易OfficeIM网络智能办公