58UN联盟提醒计算机用户:近段时期,一种可以穿透还原软件与硬件还原卡的机器狗变种病毒异常肆虐。此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的帐号信息。 支持58UN,支持中国网吧
感染现象
机器狗病毒为一个木马下载器,病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡,可通过以下几方面查看是否已中毒.:
1、激发病毒后会在SYSTEM32下修改userinit.exe ,可通过查看版本信息看出,该文件在系统目录的 system32 文件夹中,点击右键查看属性,如果在属性窗口中看不到该文件的版本标签的话,说明已经中了机器狗,如果有版本标签则正常。 网吧58UN
2、查看DRVERS目录下产生pcihdd.sys驱动文件,会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项,并在windows目录会产生以上相应文件,机器重启后以上设置都会真实保存.
工作原理
采本站者,必打击者
机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。 网吧联盟 www.58un.com.cn
【HiPER上的快速查找】
网吧58UN
从HiPER的上网监控中可以看到有内网主机和以下的IP地址发生联接:
网吧联盟 www.58un.com.cn
58.221.254.103 网吧联盟 www.58un.com.cn
218.30.64.194
60.190.118.211
60.191.124.236
网吧58UN
【PC上的解决办法】
对于已中毒的用户,建议将病毒主机断网杀毒、恢复系统镜像或重做系统
网吧联盟 www.58un.com.cn
【HiPER上的解决办法】
艾泰路由器可以在艾泰设备的“高级配置”-“业务管理”中,使用URL禁止“tomwg.com” “ 8s7.net”, 然后使用IP过滤封掉如下IP:
58.221.254.103 后果很严重
218.30.64.194
永叔的站你也敢采,
60.190.118.211 支持58UN,支持中国网吧
60.191.124.236
永叔的站你也敢采,
1) WebUI 高级配置 组管理,建立一个工作组“all”(可以自定义名称),包含整个网段的所有 IP地址(192.168.0.1--192.168.0.254)。 后果很严重
注意:这里用户局域网段为 192.168.0.0/24,用户应该根据实际使用的 IP地址段进行组 IP地址段指定。 58un.com.cn 为中国网吧努力
网吧58UN
2)WebUI 高级配置 业务管理 业务策略配置,建立url过滤策略“f_1”(可以自定义名称),屏蔽目的地址为tomwg.com的域名,按照下图进行配置,保存。 采本站,必打击者
网吧58UN
3)WebUI 高级配置 业务管理 业务策略列表中,可以查看到上一步建立的“f_1”的策略(“dns”、“dhcp”为系统自动生成的允许 dns 和 dhcp 数据包的策略,不必修改),同时系统自动生成一条名称为“grp1_other”的策略,该策略屏蔽了所有外出的数据包,为了保障其他上网的正常进行,需要将此策略动作编辑为“允许” 。
永叔的站你也敢采,
