發布：2007/11/26  閱讀：238

“我們網吧出現了一種奇怪的病毒，原來電腦重啟后因為安裝了硬盤保護卡，系統會自動還原，現在硬盤保護卡不管用了，系統文件里出現了一個小狗的圖案，運行也很慢。已經有網絡游戲玩家說在我們網吧丟了游戲帳號，要向我們索賠”，11月22日，一網吧業主焦急地向江民反病毒工程師反映在他的網吧發生的奇怪事情，他想知道，到底是什么病毒這么厲害，連硬盤還原卡都不管用了。

　　在提取了病毒樣本后，江民反病毒專家分析認為，該網吧是中了一種名為“機器狗”的新型木馬。該木馬借助ARP病毒大肆傳播，可以突破“冰點還原”等系統還原軟件，還可以突破一些常見的硬盤保護卡，使系統還原保護失效。在突破硬盤保護卡后，該病毒會下載多個惡性網游木馬，盜取常見的網絡游戲的帳號和密碼，使用戶遭受巨大損失。

　　據江民反病毒專家介紹，由于網吧的特殊性，許多網吧業主并不安裝殺毒軟件，而是普遍安裝硬盤還原卡，通過還原系統來保護系統安全。安裝了硬盤還原卡后的電腦，無論玩家在上面電腦上進行了何種操作，重啟電腦后都可以自動恢復到初始狀態。許多網吧業主把硬盤還原卡看成是網吧的安全救星，認為只要安裝了還原卡就可以一勞永逸了，不再采取其它任何安裝措施，“機器狗”病毒正是抓住了網吧業主的這種心量，在突破了硬盤還原卡后，大肆竊取網絡游戲玩家的帳號、密碼，使網絡游戲玩家以及網吧業主遭受巨大損失。

　　反病毒專家分析，“機器狗”病毒運行后，會在%WinDir%\System32\drivers 目錄下釋放出一個名為pcihdd.sys 的驅動程序，該文件會接管冰點或者硬盤保護卡對硬盤的讀寫操作，這樣該病毒就破解了還原系統的保護，使冰點、硬盤保護卡實效。接著，該病毒會利用MS06-014和MS07-017系統漏洞和等多個應用軟件漏洞，從http://xx.exiao***.com/ 、http://www.h***.biz/ 、http://www.xqh***.com/ 等惡意網址下載多款網游木馬，盜取包括傳奇、魔獸世界、征途、奇跡等多款網游帳號和密碼，嚴重威脅游戲玩家數字財產的安全。正因為冰點還原軟件和硬盤保護卡大多在網吧使用，因此網吧成為該病毒發作的重災區。此外，該病毒還會隨ARP病毒傳播，因此對局域網殺傷性極大。

　　針對該病毒，江民科技反病毒中心已經及時升級了病毒庫，用戶只要將KV殺毒軟件升級至最新版本，就可以防范查殺此病毒。江民反病毒專家建議廣大用戶采取以下六大措施，防范遭受“機器狗”等病毒侵害。

　　1、及時升級殺毒軟件病毒庫，補齊系統漏洞，上網時確保打開"網頁監控"、"郵件監控"功能。

　　2、江民殺毒軟件"移動存儲接入殺毒"能杜絕病毒利用移動設備(如：U盤、移動硬盤等)入侵用戶計算機，完全保護計算機系統安全。

　　3、禁用系統的自動播放功能，防止病毒從U盤、MP3、移動硬盤等移動存儲設備進入到計算機。

　　4、建議在登錄網游賬號、網絡銀行賬戶時采用軟鍵盤輸入賬號及密碼。

　　5、做好局域網的ARP病毒防范工作。

　　6、用戶可以使用"江民密保"，可有效保護網上銀行、支付平臺、網上證券交易、網絡游戲等賬號密碼，全面保護用戶私密信息。