病人:我是一名網管,最近在網吧上班時碰到一件煩心事。網吧裡的電腦經常一次性感染七八種病毒(檢查發現,主要有“cmdbc木馬”、“AVPSrv”、“Torjan.Diskman”等),清除後不用多久又會自動生成,就像牛皮癬一樣。我們網吧的電腦可都是裝有還原卡的啊,怎麼還會感染病毒呢?
醫生:根據你的描述,這應該是近段時間比較流行的“機器狗”病毒,這種病毒類似於“下載者”,會將大量的木馬和病毒下載到你的電腦中,其下載的木馬主要就是你剛才提到的那幾種病毒。
最重要的是,“機器狗”病毒是目前對還原軟件、還原卡破壞能力最強的病毒。“機器狗”目前可以破壞冰點還原、影子系統等還原軟件,還能破壞三茗、小哨兵等硬件還原卡。被破壞的還原卡會失去作用,讓系統徹底暴露在病毒下。
“機器狗”怎麼突破還原卡
病人:謝謝醫生的解答,我現在對這個“機器狗”病毒有點了解了,可我還想知道它是怎麼破解還原卡的?
醫生:“機器狗”的運作流程並不復雜,比起熊貓燒香、AV終結者來說要簡單不少。運行後首先會替換系統的Userinit.exe文件,Userinit.exe是Windows操作系統的一個關鍵進程,用於管理不同的啟動順序,例如用於建立網絡鏈接和Windows殼的啟動。病毒利用Userinit.exe的目的是實現隱蔽啟動。Tw.wINgWIT.CoM
接著在Windows\system32\drivers文件夾中生成一個名為Pcihdd.sys的驅動文件,病毒正是借助這個驅動文件來實現還原軟件和還原卡破解的。我們知道還原軟件和還原卡之所以能夠保護硬盤數據,是因為它具有很高的權限,能夠奪取硬盤的控制權,在系統啟動之前,將硬盤中的數據還原。
而Pcihdd.sys這個文件會和還原軟件或還原卡搶奪硬盤的控制權,大部分還原軟件和還原卡的控制權都會被Pcihdd.sys奪取,它們就失去了還原數據的能力,這樣病毒就可以避開還原卡在硬盤中安營扎寨了。
徹底清除“機器狗”病毒
病人:“機器狗”果然是一個難纏的病毒,尤其是像我這樣的網吧管理員,剛解決了煩人的“熊貓燒香”,現在來了個更狠的,真是不勝其煩。請問我該如何清除“機器狗”病毒?
醫生:清除“機器狗”的方法比較簡單,操作步驟如下:
第一步:用正常的Userinit.exe文件替換被修改的Userinit.exe文件。首先新建一個記事本,輸入如下內容:
@echo off
taskkill /f /im userinit.exe
del userinit.exe /f/q/a
將這個記事本文件保存為kill.bat,雙擊運行。然後從其他干淨的電腦中拷貝一份Userinit.exe文件,將它放到system32目錄中。
第二步:刪除pcihdd.sys文件,該文件位於Windows\system32\drivers文件夾中。用記事本打開位於Windows\system32\drivers\etc的HOSTS文件,在最後添加這樣一行:127.0.0.1 www.tomwg.com,修改完後保存文件。
第三步:用《360安全衛士》配合殺毒軟件清除系統中殘留的盜號木馬病毒。
第四步:為了更好地預防“機器狗”病毒,我們可以用批處理將Pcihdd.sys 的文件夾設置為禁止修改。批處理關鍵代碼如下:
md %systemroot%\system32\drivers\pcihdd.sys
cacls %systemroot%\system32\drivers\pcihdd.sys/e/p everyone:n
cacls %systemroot%\system32\userinit.exe /e /p everyone:r
總結
還原卡和還原軟件並不是萬能的,如果僅希望依靠它們來避免中毒不太現實。這段時間病毒技術發展得較快,網管和普通用戶一定要多加關注,以掌握最新病毒的清除方法。
From:http://tw.wingwit.com/Article/Network/201309/387.html