如何清除机器狗病毒

  病人:我是一名网管,最近在网吧上班时碰到一件烦心事。网吧里的电脑经常一次性感染七八种病毒(检查发现,主要有“cmdbc木马”、“AVPSrv”、“Torjan.Diskman”等),清除后不用多久又会自动生成,就像牛皮癣一样。我们网吧的电脑可都是装有还原卡的啊,怎么还会感染病毒呢?
  医生:根据你的描述,这应该是近段时间比较流行的“机器狗”病毒,这种病毒类似于“下载者”,会将大量的木马和病毒下载到你的电脑中,其下载的木马主要就是你刚才提到的那几种病毒。
  最重要的是,“机器狗”病毒是目前对还原软件、还原卡破坏能力最强的病毒。“机器狗”目前可以破坏冰点还原、影子系统等还原软件,还能破坏三茗、小哨兵等硬件还原卡。被破坏的还原卡会失去作用,让系统彻底暴露在病毒下。
“机器狗”怎么突破还原卡
  病人:谢谢医生的解答,我现在对这个“机器狗”病毒有点了解了,可我还想知道它是怎么破解还原卡的?
  医生:“机器狗”的运作流程并不复杂,比起熊猫烧香、AV终结者来说要简单不少。运行后首先会替换系统的Userinit.exe文件,Userinit.exe是Windows操作系统的一个关键进程,用于管理不同的启动顺序,例如用于建立网络链接和Windows壳的启动。病毒利用Userinit.exe的目的是实现隐蔽启动。WWw.iTcOmputeR.COM.cn
  接着在Windows\system32\drivers文件夹中生成一个名为Pcihdd.sys的驱动文件,病毒正是借助这个驱动文件来实现还原软件和还原卡破解的。我们知道还原软件和还原卡之所以能够保护硬盘数据,是因为它具有很高的权限,能够夺取硬盘的控制权,在系统启动之前,将硬盘中的数据还原。
  而Pcihdd.sys这个文件会和还原软件或还原卡抢夺硬盘的控制权,大部分还原软件和还原卡的控制权都会被Pcihdd.sys夺取,它们就失去了还原数据的能力,这样病毒就可以避开还原卡在硬盘中安营扎寨了。

彻底清除“机器狗”病毒
  病人:“机器狗”果然是一个难缠的病毒,尤其是像我这样的网吧管理员,刚解决了烦人的“熊猫烧香”,现在来了个更狠的,真是不胜其烦。请问我该如何清除“机器狗”病毒?
  医生:清除“机器狗”的方法比较简单,操作步骤如下:
  第一步:用正常的Userinit.exe文件替换被修改的Userinit.exe文件。首先新建一个记事本,输入如下内容:
  @echo off
  taskkill /f /im userinit.exe
  del userinit.exe /f/q/a
  将这个记事本文件保存为kill.bat,双击运行。然后从其他干净的电脑中拷贝一份Userinit.exe文件,将它放到system32目录中。
  第二步:删除pcihdd.sys文件,该文件位于Windows\system32\drivers文件夹中。用记事本打开位于Windows\system32\drivers\etc的HOSTS文件,在最后添加这样一行:127.0.0.1 www.tomwg.com,修改完后保存文件。
  第三步:用《360安全卫士》配合杀毒软件清除系统中残留的盗号木马病毒。
  第四步:为了更好地预防“机器狗”病毒,我们可以用批处理将Pcihdd.sys 的文件夹设置为禁止修改。批处理关键代码如下:
  md %systemroot%\system32\drivers\pcihdd.sys
  cacls %systemroot%\system32\drivers\pcihdd.sys/e/p everyone:n
  cacls %systemroot%\system32\userinit.exe /e /p everyone:r

总结
  还原卡和还原软件并不是万能的,如果仅希望依靠它们来避免中毒不太现实。这段时间病毒技术发展得较快,网管和普通用户一定要多加关注,以掌握最新病毒的清除方法。

 
如何绕过Vista登录验证

  Vista的一大卖点就是其可靠的安全性,UAC、内置防火墙等功能把Vista打造得如同铜墙铁壁。难道真的不可被攻破吗?其实利用输入法漏洞,无需输入密码,就可以直接以系统管理员的权限登录系统,执行任意操作。如此低级但严重的漏洞到底是如何在Vista上重演的呢?
  出现这样低级的漏洞其实也不能完全怪Vista,存在漏洞的《极点五笔输入法》才是罪魁祸首。问题出在其6.0版本(2007.2.26.0.98)中,当Vista系统安装上该版本的《极点五笔输入法》后,就像两种独立的化学物质,本身不会有反应,但当两者融合在一起的时候,就会产生剧烈的化学反应,低级的漏洞由此诞生。
漏洞触发条件
  这个漏洞的危害性很大,但是要触发这个漏洞,也是需要有一定条件的:
  条件1:6.0版本(2007.2.26.0.98)的《极点五笔输入法》输入法。这是必要前提,只有该版本的输入法存在此漏洞,最新的版本已经填补了漏洞。此外,Google输入法最初的1.0版本也存在此漏洞。
  条件2:系统处于锁定状态(按“Windows+L”组合键实现)。当Vista启动到登录界面时,是不会触发漏洞的,只有当系统处于锁定状态时,漏洞才会被激活。
  满足这两点后,我们就可以轻松绕过Vista的密码验证,直接进入系统了。下面我们来对这个漏洞进行测试。
绕过系统验证登录
  Step1:假设当前登录界面处于锁定状态下,点击界面左下角的输入法选择按钮,在出现的菜单中选择《极点五笔输入法》。
  Step2:点击一下登录界面的空白处,这时会出现《极点五笔输入法》的输入法状态条,在上面点右键,在出现的菜单中依次选择“输入法设置→设置另存为”。
  Step3:在登录界面会弹出一个文件保存对话框,在这个对话框中我们可以浏览硬盘中的任意文件,包括创建和删除文件(图2)!

  Step4:在对话框中操作文件很不方便,况且并不能算是真正的入侵,因此我们可以利用漏洞创建一个具有管理员权限的账户,用这个账户进入系统。
  在对话框的地址栏中输入“c:\windows\system32\net.exe user hacker 123456 /add”(图3),输入完毕后点击一下旁边的“前进”按钮,这时会有一个“命令提示符”窗口一闪而过。虽然登录界面看起来没有什么变化,但我们已经在系统中创建了一个名为hacker,密码为123456的普通账户。

  Step5:接下来我们将它提升为系统的管理员,再次在地址栏中输入“net localgroup administrators hacker /add”并回车,仍旧是一个“命令提示符”窗口一闪而过。OK,现在我们已经是系统的管理员了,关闭当前的对话框窗口,点击登录界面上的“切换用户”按钮。接下去请相信你的眼睛,hacker账户已经俨然出现在了登录界面上(图4)。下面就不用多说了,用hacker账户登录,在Vista系统中尽情的爽吧。

  至此,我们已经成功绕过了Vista的密码验证,成为了系统的管理员。而入侵的过程只有短短的几个步骤,甚至不用借助任何工具,可见这个漏洞一旦形成,危害十分巨大。那么对于这个漏洞,我们该如何防范呢?
漏洞防范技巧
  在上文中我们已经提到漏洞形成的两个必要条件,因此只要我们能解决其中一条,即可防范漏洞。
  方法1:升级《极点五笔输入法》的版本,目前最新版本为6.1正式版,只要升级到最新的版本就可以填补漏洞,这是最简单也是最有效的方法。如果你使用的是其他的输入法程序,也建议进行一下升级,因为Vista系统作为一个新系统,不少输入法都还没做好准备,或多或少都可能存在一些潜在的瑕疵。
  方法2:如果没有条件升级输入法版本,也没有关系,只要不对当前用户进行“锁定”操作就可以了,我们也可以用“切换用户”代替,效果是一样的,但是“切换用户”后的登录界面不存在漏洞。
总结
  在Windows 2000时代,也出现了一些类似的输入法漏洞,为什么输入法会频繁出现这种问题呢?主要还是输入法本身设计的问题,由于输入法的帮助文件能执行CMD命令,可以被用来添加管理员账户,导致黑客绕过登录验证。
  很多用户都有不升级输入法的习惯,一旦该版本的输入法出现漏洞,后果就会很严重。建议大家定期更新自己的输入法,避免被人偷偷登录。

 
如何清除盗号木马

  网络中肆无忌惮泛滥的木马盗取网络交易账号、获取用户私密信息以谋取利益,普通用户往往由于对木马不够了解和对安全防范麻痹大意,造成严重的后果。许多人都有中木马的经历,那么中了木马怎么清除,平时怎么防护,请看下面的文章。
怎么判断中了木马
  病人:木马危害实在太大了,那我怎么知道自己的电脑中了木马呢?
  医生:电脑中了木马后,有时候会有一些非常典型的症状,比如杀毒软件自动关闭、电脑运行速度变慢、经常有一些陌生网页窗口弹出、系统中某些程序无法运行等;也有时候症状并不明显,不过我们可以通过一些蛛丝马迹来初步分析电脑是否中了木马,比如查看“任务管理器”是否有不熟悉的进程(一旦发现则到网上进行搜索看是否是病毒程序),从系统文件夹、注册表、启动程序等查看是否有可疑的文件或项目。
  下面我们以感染了近期比较活跃的SoundMan木马的电脑为例来了解一下木马的一些常见行为。
小知识:SoundMan木马
  SoundMan木马是利用Realtek声卡相关程序以及图标迷惑用户的一款“网游木马下载器”,它除了具备普通木马能够屏蔽显示隐藏文件的功能外,还可以用替换服务等方式启动自身,并具有结束杀毒软件和在后台下载大量网游木马的功能。
1.隐藏文件已经无法显示
  打开一个文件夹,在上方菜单中选择“工具/文件夹选项”,在“查看”中勾选“显示所有文件和文件夹”,并去掉“隐藏已知文件类型的扩展名”前面的勾。经过这样的操作后,隐藏文件还是无法显示。

  提示:一旦发现设置了“显示所有文件和文件夹”,而系统仍无法显示隐藏文件的话,一定要引起足够的重视,极有可能有木马入侵。
2.查看System32文件夹
  进入System32文件夹中(假设Windows XP安装在C盘),可以发现木马创建了ineters.exe、SoundMan.exe、tthh3.ini这三个文件(编注:之前我们已经对显示隐藏文件做了处理)。
  提示:木马一般会在系统文件夹System32中释放病毒文件以及相关的ini文件,如果怀疑中了木马,注意检查此文件夹中那些在出现中毒症状前后所创建的文件。
3.查看用户账户
  单击“开始/设置/控制面板”,双击“用户账户”,如果发现电脑中的Guest账户无故被激活,或是多出其它的陌生账号,例如名为Microsoft的账户,也要提高警惕,这也是感染木马的一个典型特征。
4.查看auto文件
  当系统中了SoundMan.exe木马后,只要有新的可移动存储接入,此木马便会写入auto.exe和autorun.inf 文件,所以我们在鼠标右键菜单中发现有auto、autorun任何一个选项,或是在移动硬盘或闪存根目录下查看发现auto.exe和autorun.inf 这两个文件,则证明中毒。
  提示:现在的木马一般都会利用移动存储设置的自动播放功能进行病毒的写入和传播,所以如果在硬盘分区以及移动存储设备根目录下发现auto.exe和autorun.inf 这两个文件,则电脑与移动硬盘都已经中毒。
  除了检查上面那些地方外,我们还可以从以下几个木马喜欢喜欢藏身的地方来查找蛛丝马迹。
  一是从“Win.ini”文件判断是否中毒。利用记事本打开“C:\Windows”目录下的Win.ini文件。在文件的[windows]字段中查找启动命令“load=”和“run=”后面是否跟有程序,在一般情况下“=”后面是空白的,如果在“=”号后面跟着程序(图2),那一般是中了木马病毒。

  二是从“System.ini”文件判断是否中毒。利用记事本方式打开位于“C:\Windows”目录下的“System.ini”文件,如果发现[boot]字段中“shell=Explorer.exe”后添加了程序,一般都是木马服务端程序。另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所,所以也需要进行检查。
  三是打开注册表编辑器进行查找。木马一般会利用注册表中的Run、RunServices、RunOnce等子项来加载,在“开始”/“运行”中输入“regedit”进入注册表编辑器,在以下几个地方进行查看。
(1)注册表中的启动项
  查看“HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion”下的RunServices、RunServices Once、Run、RunOnce以及 “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion”下的RunServices、Run、RunOnce下是否有可疑项目。
  如果发现其中加载了一些陌生程序到系统文件夹中,那么则可能中了木马病毒。
(2)文件关联键
  有些木马还会通过修改注册表中的某一类型文件的键值来加载程序。检查“HKEY_CLASSES_ROOT\XXX(编注:这里的XXX可以是exefile、comfile、batfile、htafile、piffile)\shell\open\command”子键中“默认”值:““%1” %*”;检查“HKEY_LOCAL_MACHINE\Software\CLASSES\ XXX(编注:这里的XXX可以是exefile、comfile、batfile、htafile、piffile)\shell\open\command”子键中“默认”值:““%1” %*”。
  这些“%1 %*”可以被赋值,如果发现默认值被修改,例如病毒木马将其改为“muma.exe %1 %*”,则可能中毒。
横扫网络木马
  病人:我已经中了木马,应当怎么清除?
  医生:如果电脑系统分区中没有重要数据,那么利用备份及一键恢复直接重新恢复系统是最简单的方法。如果无法这样做,可以用一些工具软件来帮忙清理木马。
  目前很多木马病毒,譬如本例中的SoundMan.exe能够删除安全软件的启动项目、劫持安全/杀毒软件,并且连接网络下载其它木马及病毒。所以首先要做的就是删除注册表的启动项、修复被劫持的杀毒软件/安全软件,然后利用杀毒软件或专杀工具来清除木马。
  下载SREng软件并更改名称运行,首先对注册表中的RUN键进行修复,选择“系统修复”选项中的“注册表”选项卡,删除未知的启动项目,比如路径为系统文件夹(C:\win dows\system32或C:\winnt\system32)中的Sound Man.exe木马病毒程序启动项(图3)。

  提示:除了“注册表”启动项外,我们最好进入 “启动项目”中的“Win.ini”、“System.ini”等选项中进行查看并清除相关联的病毒加载项,以免病毒死灰复燃。
  然后再选择“系统修复”中的“文件关联”选项,勾选错误的文件关联,单击“修复”按钮,修复被木马病毒劫持的程序,包括杀毒软件和一些安全工具等。

  为了防止激活木马,在“系统修复”的“高级修复”选项中单击下方“修复安全模式”对电脑安全模式进行修复,最后进入到安全模式下进行杀毒软件病毒库的更新及病毒查杀,同时下载木马病毒的专杀工具对木马及病毒进行扫描清除。
  提示:除了利用SREng软件进行修复 ,我们还可以利用小工具包来进行系统修复,小工具包在电脑报网站http://www2.cpcw.com/bzsoft/进行下载,打开工具包后,双击恢复显示隐藏文件.REG导入注册表,再打开Icesword软件,清除系统文件夹中的病毒文件、使用IFEO映像劫持修复工具修复被劫持的杀毒软件及安全软件,最后就是用杀毒软件进行查杀。小工具下载下来后改名后再使用,以免被木马病毒劫持。
如何预防木马
  病人:木马虽然已经清除了,但是我怎么避免以后电脑再被木马侵袭呢?
  医生:为了更好的保护系统不受到破坏,打好我们的网游账号保卫战,除了为一个完全干净无毒系统做个备份,我们还可以通过以下的方法来进行网游木马的预防。
  1.必须安装杀毒软件及防火墙,并对其进行升级,相应系统补丁也要随时更新,还要定期进行病毒木马扫描。
  2.安装游戏账号保护软件
  目前有很多专门针对网游账号保护的安全工具,它们采取的原理不同,但对游戏账号都有一定的保护作用,条件允许的情况下可安装这样的保护软件。如何选择,可参考本期F7版的评测。
  3.通过注册表设置,阻止病毒通过IFEO劫持杀毒软件,具体操作方法:单击“开始”→“运行”,在命令行中输入regedt32,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options,右键单击此选项,在弹出的菜单中选择“权限”,然后把Administrors用户组和Users用户组的权限全部取消。

利用注册表限制IFEO的读写权限

总结
  养成安全的电脑操作习惯+严密的安全设置+定期检查这三大强效药剂,我们完全可以让病毒木马远离自己的电脑系统,玩网络游戏时再也不用担心和木马亲密接触!但是由于杀毒软件以及安全工具的设置及使用需要一定的电脑基础,整个木马产业链由于缺少相关法律有效的监控而发展的越来越大,导致许多对电脑安全设置不熟悉的用户遭遇木马侵袭围剿,用户的私密信息一旦被不法分子掌握,将会给用户造成严重的后果。我们呼吁除了电脑用户加强自身的电脑安全意识和技能外,还需要国家法律以及网络监管部门一起携手,共同打造一个安全的网络环境!