一直以来,网吧客户机凭借还原卡或诸如Deepfreeze(俗称“冰点”)、还原精灵等还原措施的保护,轻松躲过了诸多病毒灾难的浩劫。然而,臭名昭著的“机器狗”病毒的出现,不仅打破了还原卡是网吧操作系统保护神的说法,也让众多网吧技术人员手忙脚乱。至今,防范“机器狗”病毒尚没有完善成熟的方案,IMG病毒又大军来袭,网吧成为顽固病毒的泛滥之地。由于IMG病毒不仅可以破坏网吧的还原系统,还具有ARP病毒的破坏能力,如何查杀IMG病毒并防范成为网吧的一大技术难题。下面,笔者简单叙述一下查杀IMG病毒的常用方法和防范心得。
全面了解IMG病毒的几大特征
对于凶猛的IMG病毒,目前杀毒软件仅仅能够识别该病毒,而不能在保证系统正常运行的基础上将该病毒删除,这意味着对付IMG病毒只能用手工方法查杀,或者是用技术手段防范IMG病毒感染网吧客户机。要想查杀病毒,必须认清病毒的本质,杀毒软件的工作原来亦是如此。下面,我们不妨看一下IMG病毒的真面目,并找出其弱点。
其实,IMG病毒与此前流行的“机器狗”病毒有着一些相似,只要用户点击了带有病毒的WEB页面,机器将会感染IMG病毒。感染了IMG病毒的机器还会自动下载带有ARP欺骗代码的盗号木马,而且可以穿透市面上大部分还原系统。具体来说,IMG病毒主要有以下几个特征:图一
IMG病毒的特征
1、破坏还原系统:如同肆虐疯狂的“机器狗”病毒一样,IMG病毒也是通过userinit.exe文件穿透还原系统。目前,IMG病毒可以破坏市面上大部分还原系统,包括硬件类的还原卡,以及诸如Deepfreeze、还原精灵、虚拟还原等各种还原软件。在成功穿透还原软件或还原卡之后,IMG病毒还会再次修改还原软件,并将病毒自身存储在操作系统中,从而完成传播过程。
2、生成IGM进程:当计算机感染了IMG病毒之后,系统进程中会生成一个名字为“IGM.EXE”的进程,磁盘分区也会有auto.exe和autorun.inf两个文件。在msconfig的启动项中,也会有IGM.EXE。IMG病毒还具备自动启动和自我保护的特点,这为手工清除IMG病毒增加了一定的难度。
3、自动下载木马软件:当IMG病毒进入操作系统之后,会自动登录互联网,下载木马软件。目前,IMG病毒会自动下载盗号软件,以及一些破坏类的木马软件。下载盗号软件之后,通过ARP欺骗盗取网吧顾客的游戏帐号资料,以及诸如QQ、MSN等即时通讯软件的密码;而破坏类的木马软件,则是不断向整个网络发送数据包,致使网络阻塞,达到让网吧网络瘫痪的目的。
4、生成系统服务:感染了IMG病毒的电脑,还会在系统的msconfig选项中生成一个名字为“4f506c9e”的服务,该服务随操作系统自动运行。
从IMG病毒的特征可以看出,该病毒与“机器狗”病毒实在是太像了。其实,破坏还原系统的方式,IMG病毒和“机器狗”是异曲同工之妙。下面,我们不妨寻找一下IMG病毒的弱点,这样才能对症下药,消灭IMG病毒。
通过特征寻找IMG病毒的弱点
可以破坏市面上大部分还原卡和还原软件,这是IMG病毒的破坏力,但并不是其弱点。对于“机器狗”或IMG这样破坏力非常强的病毒,我们所做的是全面防范,而不是等病毒进入操作系统之后,再设法查杀。
对于破坏力非常强大的IMG病毒来说,其传播途径就是其弱点。下面,我们不妨耐心的寻找IMG病毒的传播途径。目前,IMG病毒的常用传播渠道,一是利用MSN、QQ等即时通讯软件,二是利用一些含有恶意代码的网页。国内权威的杀毒软件厂商对IMG病毒进行研究后发现,IMG病毒与“机器狗”病毒一样,也是通过IE浏览器及一些应用软件的漏洞进行传播的。被IMG病毒利用的漏洞有如下几个:
1、微软的MS07-017漏洞:最初,“机器狗”病毒是利用该漏洞进行传播的。查看微软的安全公告可以得知,一些病毒会利用操作系统的ANI漏洞加载木马,而这一过程恰恰是病毒作者对微软操作系统MS07-017漏洞的“巧妙”应用。如果网吧机器没有安装MS07-017补丁,一旦访问了病毒代码,IMG病毒便会不请自来。众所周知,一些网站多多少少都会有漏洞,既便是一些大网站,也会有漏洞,病毒作者在网站植入病毒代码之后,没有安装MS07-017补丁的机器就会感染IMG病毒。图二
MS07-017安全漏洞简介
2、MS06-014漏洞:这个漏洞是很多网管都熟悉的一个系统漏洞,即让IE自动下载一个软件并执行。如果系统存在该漏洞的话,一旦计算机访问到带有IMG病毒代码的网页,会利用IE浏览器的自动下载并执行的漏洞,就这样,IMG病毒成功的进入计算机了。
在网吧的应用环境中,通过IE浏览器上网是每台计算机都有的操作,这无疑加大了感染IMG病毒的机率。由于IMG病毒是通过恶意代码进行传播的,也就是说,凡是可以执行网页代码的应用软件,都有可能成为IMG病毒的传播渠道。
3、应用软件的漏洞:暴风影音II是使用比较频繁的一个多媒体应用软件,该软件有一个高风险漏洞,成为IMG病毒传播的一个通道。暴风影音II的漏洞发生在一个activex控件上,当安装了暴风影音II的用户在浏览黑客 精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。除了暴风影音II之外,Web迅雷、迅雷及Realplayer都该漏洞。仔细观察不难发现,上述应用软件中都内置了可以浏览网页的组件,也就是说,应用软件的漏洞,最终还是IE漏洞引起的。
显然,IMG病毒与“机器狗”病毒如出一辙,都是利用IE浏览器的漏洞及一些应用软件的漏洞进行传播的。试想,IMG病毒虽然可以穿透还原系统,而且可以自动下载木马,可是,如果把IMG病毒的传播途径切断,IMG病毒的破坏力又从何而来呢?切断传播途径,成为了消灭IMG病毒的方向。
切断传播途径消灭IMG病毒
说白了,再凶猛的病毒也无非是一个程序,IMG病毒也不例外。IMG病毒的本质是一种具有破坏力和传染性的软件。由于IMG病毒是利用系统及应用软件的漏洞进行传播的,补好这些漏洞,意味着可以将病毒拒之门外,消灭IMG病毒也就是如何将IMG病毒远离计算机。
具体来说,消灭IMG病毒方法,主要有以下几种措施:
1、及时更新系统漏洞补丁:从上文的叙述可以得知,网吧计算机之所以会感染IMG病毒,因为操作系统和一些应用软件存在着诸多的安全漏洞,为此,网管必须在第一时间内安装操作系统和应用软件的安全补丁。图三
微软操作系统补丁
网吧使用的是微软的操作系统,默认情况下,操作系统的自动更新功能是打开的,一旦微软发布新的安全补丁,自动更新功能将会自动安装这些安全补丁。对于诸如Realplayer等应用软件的安全漏洞,建议网管定期升级,一旦软件厂商推出了新版本,及时将网吧电脑的各种应用软件更新到最新的版本。
2、使用第三方浏览器:由于IMG病毒的传播全部是针对IE浏览器的漏洞引起的,为此,使用第三方浏览器,可以大大降低IMG病毒的感染机率。在使用第三方浏览器的时候,必须保证浏览器没有使用IE浏览器的内核,因为使用IE浏览器内核的第三方浏览器,仍旧具有IE浏览器所具备的漏洞。
3、及时更新病毒库:IMG病毒入侵计算机的过程,其实是通过一个含有恶意代码网页进行传播的过程。对于一些恶意代码,一些杀毒软件是有查杀能力的。为此,要想准确的查杀带有IMG病毒的恶意网页代码,必须及时更新病毒库。
上述方法,仅仅可以防范IMG病毒的入侵。由于病毒有多个变种,这注定了上述方法不会真正杜绝IMG病毒的入侵,为此,网吧技术人员还要做出感染了IMG病毒后的防范工作。因为一旦机器感染了IMG病毒,网吧的整个网络都要受到影响,这时,网吧技术人员必须用MAC地址与网关地址绑定的方法,降低IMG病毒对网吧网络的破坏作用,防范ARP欺骗的方法这里不再详细叙述。
结束语:任何一种事物都有双面性,病毒也不例外。IMG病毒虽然破坏力非常强大,可是IMG病毒自身也有弱点,找到IMG病毒的弱点,消灭IMG病毒将不再困难。一直以来,网吧防范病毒过于依赖还原卡或还原软件,而忽视了还原卡或还原软件也有缺点。还有一些网吧的技术人员,在防范IMG病毒时,一味的封杀带有恶意代码的网页,忽视了操作系统或应用软件的漏洞致使计算机感染IMG病毒的真正元凶。为此,遇到诸如IMG和“机器狗”这样破坏性非常强的病毒,一定要认清病毒的本质,然后找到病毒的弱点,根据病毒弱点消灭病毒,防范病毒。
