机器狗病毒防御方法
关于机器狗病毒(含驱动级防御)
该病毒为一个木马下载器,病毒采用hook系统的磁盘设备栈来达到穿透目的的,危害极大,可穿透目前技术条件下的任何软件硬件还原!基本无法靠还原抵挡,可通过以下几方面查看是否已中毒.
激发病毒后会在SYSTEM32下修改userinit.exe ,可通过查看版本信息看出,查看DRVERS目录下产生pcihdd.sys驱动文件,会在启动项加载“cmdbcs,mppds,upxdnd,winform,msccrt,avpsrv,msimms32,dbghlp32,diskman32"启动项,并在windows目录会产生以上相应文件,机器重启后以上设置都会真实保存.
问:我们是怎么来防御的?
通过禁止文件访问的形式来禁止病毒的运行,可自由设置配置文件并方便的加入到客户机启动运行列表项,具体操作如下:
一、驱动内核层防御:( 从原理上防御 )
.. 针对机器狗病毒对网吧业带来的巨大影响,强者公司经过日夜奋战,终于反编译了该木马大部分代码,提供机器狗病毒的终级解决方案,本着对用户负责的态度,现维护系统免费加入“驱动内核级”机器狗病毒防御,彻底杜绝机器狗病毒包括其变种的破坏.
关键它是完全免费的.
二、禁止文件访问法:( 初级防御)
1.下载 "机器狗病毒防御补丁点击下载" , 把UnCracker.exe和UnCracker.ini两个文件放在服务端的一个共享目录下,(如:qzsenetgame1),并保证在客户机可以正常访问这个路径;
2.打开服务端主控制器在随意哪台客户机上点右键-à运行工作站命令,加上如下图中所设置的工作站每次启动运行列表:
3.编辑UnCracker.ini文件,如下所述:
[system]
1=c:windowshh.exe
2=…
[nosystem]
1=C:WINDOWSsystem32driverspcihdd.sys(可防机器狗病毒)
2=d:command.com
3=d:Iexplores.exe
以上内容可以根据用户需求自由添加,如防止arp运行时可在配置中加入"c:windowssystem32driversnpf.sys","c:windowssystem32packet.dll",
"c:windowssystem32pthreadVC.dll","c:windowssystem32wpcap.dll".
网友评论