机器狗病毒的预防与清除

开篇：润墨网以专业的文秘视角，为您筛选了一篇机器狗病毒的预防与清除范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

目前，一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权，并修改用户初始化文件userinit.exe来实现隐藏自身的目的（如图1）。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息。

解决方案

该病毒为一个木马下载器，病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡，可通过以下几方面查看是否已中毒。

机器狗病毒和以后变种的永久防御方法!

软还原（冰点类，网维大师类），硬还原（还原卡类），为网吧行业做了很大的贡献，也是病毒作者们最头痛的事，他们一定会利用这种原理大量生产病毒，危害网吧行业。它们为我们保护了系统，那我们拿什么保护他们呢?

其实保护硬盘控制权的事，比尔・盖茨早就给大家做了，现在网吧都在用Windows2000/XP/2003，绝大部分网吧都是用系统管理员登录，那么这个用户对系统有最大的控制权（好多网吧直接用administrator登录），这样所有的病毒都能用这个权限对系统进行修改，问题就在这里，如果不用管理员登录行不行?

Windows系统本身就有好多级别的用户（如图2），各个级别的用户有着各个级别的权限，最低的是guests组的用户，高一些的是users组的，再高就是power users组，最高就是网吧一般登录的管理员组，即administrators组。

现在新建一个用户，把它放最第二高级别power users组，去运行病毒，结果不能进行，那么只要把网吧自动登录的用户，即上网的人要用到的用户降一级，那么这种类型的病毒对冰点，网维大师，还原卡都无效，因为它没有权限去和冰点抢控制权，那么当然就不能穿透了。

根据对这个病毒源码的分析来看，网吧可能即将面临病毒、盗号的高峰；恐怕目前大家最好做好最坏的思想准备，怎么来防御？通过禁止文件访问的形式来禁止病毒的运行，可自由设置配置文件并方便的加入到客户机启动运行列表项，具体操作如下：

一、简单有效的应付方法

1.先把还原软件功能关闭（各类还原软件方法不同）。进入安全模式（这步是防止正常进入系统，病毒已开始自动下载，查杀的速度赶不上病毒的下载速度，当然，如果没装万象的防逃费助手internat.exe的话，可以拔掉网线进行操作），总之，先进入安全模式。

2.安全模式下，结束userinit进程。从别的机器复制一个正常的userinit放到c:\windows\system32目录下。不知道如何复制？可以用U盘从正常的机器拷过来，或者进行这些操作之前，把这个正常文件从网上下载回来。

3.将复制过来的userinit.exe改名。随便改名，比如改成my.exe（记得扩展名），然后在注册表，修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下的Userinit键值：C:\WINDOWS\system32\userinit.exe，改为：C:\WINDOWS\system32\my.exe，（注意my.exe后有个逗号）（如图3），之后再复制一份正常的userinit.exe在system32目录下，给其加上只读，隐藏，存档等权限。

4.重启动（有还原软件的可以重启前关闭还原功能，否则上面忙的这些又没了）。病毒再不会自动下载东西了，因为其依赖的userinit.exe路径改了。如果不放心，可以再用360安全卫士或Windows清理助手检测一遍。有木马的话杀，没有就OK了。

禁止文件访问法二：

在%systemroot%\system32\drivers\目录下建立个名字为pcihdd.sys的文件夹，设置属性为任何人禁止。

建立批处理文件pcihdd.bat

md %systemroot%\system32\drivers\pcihdd.sys

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

cacls %systemroot%\system32\userinit.exe /e /p everyone:r

exit

运行之，病毒因无法安装驱动文件pcihdd.sys，从而使系统免疫。

二、硬件防范

针对“机器狗”病毒的硬件防范方案，一是通过路由器对“机器狗”病毒的传播途径屏蔽；二是防范ARP病毒对网吧网络的破坏。

1、用IP地址过滤列表屏蔽“机器狗”传播途径：“机器狗”病毒的传播，是因为用户点击了带有恶意代码的网页，网管可以将其屏蔽，这样就封堵了“机器狗”病毒的传播渠道。屏蔽一些恶意网站，可以通过网吧的路由器中自带防火墙组件完成。启用路由器防火墙组件中的IP地址过滤列表和域名过滤列表功能，将一些传播“机器狗”病毒的恶意网站域名及IP进行屏蔽，方法相信大多数网管都已经掌握。

2、建立协议端口过滤列表：感染了“机器狗”病毒的机器，自动下载木马程序时，会占用一定的网络端口。从技术角度上讲，如果把病毒下载木马程序所占用的端口禁用，病毒将无法下载木马程序。为此，在了解了“机器狗”病毒下载木马程序占用的网络端口之后，可以通过路由器的防火墙组件，建立协议端口过滤列表，将病毒使用的端口禁用。

3、绑定IP和MAC地址：最新的“机器狗”病毒变种可以自动下载ARP欺骗病毒，这无疑让“机器狗”病毒的破坏力更加强大。对于ARP欺骗的防范，网管可以通过网吧的路由器或三层交换机等网络设备，将每台客户机的IP与MAC地址做一个绑定；除此之外，在客户机中，将网关的IP地址与MAC地址做一个绑定。通过双层绑定，降低ARP欺骗的危害。

针对“机器狗”病毒新变种的硬件防范方案，很大程度上要受限于路由器或三层交换机功能的限制。由于“机器狗”软件防范方案有一定的局限，硬件方案可以弥补软件防范方案的局限，软硬兼施，消灭“机器狗”病毒也成为可能。

三、全网免疫

提醒网管员以及家中建立小型局域网的用户采取以下安全策略来加固自己的网络：

1、做好ARP欺骗的防范工作。由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播，因此做好ARP欺骗的防范工作十分必要。建议有条件的网吧和企业，采用双向绑定策略，在交换机或路由器上绑定好全网的IP-MAC地址，在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒，该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。

如果不具备双向绑定的条件，可以采用划分VLAN的方法，来隔离网络的不同区域，这样可以把ARP病毒的危害降低到最小。

2、更新好系统漏洞补丁，尤其是网页木马常用漏洞：MS06-014和MS07-017。目前根据江民科技反病毒中心恶意网址跟踪结果来看，发现绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的，因此打好补丁十分关键。

MS06-014中文版系统补丁下载地址：

/china/technet/security/bulletin/MS06-014.mspx

MS06-014英文版系统补丁下载地址：

/technet/security/Bulletin/MS06-014.mspx

MS07-017中文版系统补丁下载地址：

/china/technet/security/bulletin/MS07-017.mspx

MS07-017英文版系统补丁下载地址：

/technet/security/bulletin/MS07-017.mspx

3、注意应用软件版本的及时更新。“机器狗”病毒除了利用以上两个系统漏洞通过网页木马的方式入侵到电脑中，还利用时下最为流行的应用软件漏洞进行挂马传播，例如一些聊天工具漏洞、播放器软件漏洞、网络电视软件漏洞、游戏软件漏洞、甚至是一些常用的下载工具的漏洞都会成为病毒的传播途径。由于应用软件的用户群体更为广泛，这也就成了病毒作者传播病毒的又一“利器”。因此要注意软件的版本，一定要使用从官方网站下载的最新版本的软件，这点十分重要，不要使用老版本，因为老版本还有很多漏洞。

4、禁用Windows系统的自动播放功能。这一点对个人用户来说同样重要，由于“机器狗”病毒还会利用U盘传播，因此如果U盘中含有此病毒时，如果直接双击打开U盘，就会激活病毒，从而感染进电脑中。建议用户通过组策略的方式禁用U盘的自动播放功能。

关闭自动播放功能方法如下：在“开始”菜单的“运行”框中运行“gpedit.msc”命令，在“组策略”找到“计算机配置”和“用户配置”下的“管理模板”功能（如图4），打开其中的“系统”菜单中的“关闭自动播放”的设置，在其属性里面选择“已启用”，接着选择“所有驱动器”，最后确定保存即可。江民杀毒软件“移动存储接入杀毒”能杜绝病毒利用移动设备（如：U盘、移动硬盘等）入侵用户计算机，保护计算机系统安全。

5、及时升级KV杀毒软件病毒库，上网时确保打开“网页监控”、“邮件监控”功能。

建议企业级用户和网吧部署KV网络版杀毒软件，KV网络版具有全网统一升级，统一杀毒功能，可以快速彻底清除网络中的ARP病毒和“机器狗”病毒及其变种。

江民机器狗病毒免疫程序下载

/download/machinedogpatch.exe

那么如何识别是否已中毒呢？

是否中了机器狗的关键就在Userinit.exe文件，该文件在系统目录的system32文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗。如果有版本标签则正常（如图5）。

注：“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。”