2008技術通報 - 來勢洶洶的機器狗病毒

上面這個可愛的小狗圖示,是紅極一時的Sony機器狗AIBO,但是如果在電腦中發現這樣圖示的檔案,您的電腦很可能就是感染了機器狗病毒。

1. 機器狗病毒的特性:

機器狗病毒最早流行於中國地區的網咖,該病毒本身會產生一個pcihdd.sysC:\WindowsWinnt\System32\drivers的目錄下面,提高自己的優先順序接替還原卡的硬碟驅動,影響還原卡寫入磁碟的動作,導致還原卡失效。所以感染病毒的電腦即使有裝還原卡依舊無法復原,病毒可持續竊取系統中的資料。

一但感染機器狗病毒,系統時間可能會被修改至西元2000年或是2099年的時間,此動作會影響某些資安軟體無法正常執行。另外病毒也會連線至特定網址大量下載特洛依木馬病毒檔案,並且不斷的自我更新避免防毒軟體的偵測。

2. 機器狗病毒的散播方式:

目前機器狗的變種病毒眾多,且透過不同的弱點入侵電腦:

a. 透過MS06-014MS07-017等作業系統的弱點入侵電腦
b. 透過RealPlayerAdobe Flash Player的程式弱點感染目標電腦
c. 透過USB可攜式裝置感染
d. 透過ARP的攻擊方式,影響區域網路內的其他電腦,利用Man in Middle的方式修改區域網路內的封包導致其他用戶端連結至特定網址下載病毒檔案。


3. 如何檢測機器狗病毒:


a. 機器狗病毒主要會修改explorer.exeuserinit.exe兩個系統檔案,也有部分變種會修改其他的系統檔案,包括ctfmon.execonime.exeinternat.exe,若要確認是否有感染機器狗病毒,可右鍵點選上述檔案觀察是否有出現版本的標籤,如果沒有版本標籤就表示檔案很有可能已經被病毒修改,需要從其他相同版本的作業系統還原該檔案。或是使用工具檢查該檔案的MD5值與正常的檔案比對是否相同,確認是否感染機器狗病毒。

您可至下列網址下載MD5檢查工具
http://www.blisstonia.com/software/WinMD5/


Step1先將程式儲存到乾淨的作業系統中,執行WinMD5.exe

Step2點選File->Open File,選擇需要建立MD5資料庫的檔案,例如C:\WindowsWinnt\explorer.exeC:\WindowsWinnt\System32\conime.exeC:\WindowsWinnt\System32\ctfmon.exeC:\WindowsWinnt\System32\internat.exeC:\WindowsWinnt\System32\userinit.exe,程式計算出MD5值後將檔案另存成systemfile.md5檔案。


Step3MD5檢查程式與systemfile.md5複製到可能有問題的作業系統上,執行後點選File->Open MD5 File,指向systemfile.md5的位置載入先前建立的MD5資料庫。
 


Step4點選File->Open File,依序點選要檢查的檔案,程式會比對資料庫顯示比對結果,BAD表示MD5不符合,Good表示MD5相同

b. 檢查系統時間是否有被修改至西元2000年或是2099

4. 建議預防方式:

a. 病毒會產生pcihdd.sysC:\WindowsWinnt\System32\drivers資料夾下,建議使用OfficeScan的用戶啟用OPP設定防寫清單以阻擋病毒檔案寫入特定資料夾中,有關OPP的啟用與設定請參考技術通報-如何啟用OPP防護病毒攻擊
b. 儘速更新作業系統修正程式MS06-014MS07-017
c. 更新RealPlayer11正式版,更新Adobe Flash Player9.0.115.0
d. 因為病毒也會透過USB可攜式裝置感染目標電腦,故建議關閉系統USB自動播放功能,有關詳細的USB病毒的防治要點,請參考技術通報-USB病毒防治要點
e. 病毒會透過ARP攻擊的方式感染區域網路內的其他電腦,欲知詳細的ARP病毒介紹與防範方式,請參考技術通報-了解ARP病毒
f. 機器狗病毒會大量下載特洛伊木馬病毒,建議趨勢科技用戶啟用OfficeScan 8.0WRS功能(Web Reputation Service),可阻攔用戶端連線至惡意網站下載病毒。如何啟用WRS功能請參考OfficeScan產品安裝手冊38

非趨勢科技用戶,可試用趨勢科技新推出的產品WTP Add-OnWeb Threat Protection)防禦工具,趨勢科技提供一年免費試用服務,您可至下列網址下載試用WTP
http://tw.trendmicro.com/tw/products/enterprise/wtp/index.html
g. OfficeScan用戶建議啟用Generic Clean 3.0功能,加強清除變種病毒的能力,並協助修復系統。如何啟用Generic 3.0請參考技術通報-如何啟用Generic Clean 3.0

創作者介紹
創作者 Ban.Shen的部落格 的頭像
Ban.Shen

Ban.Shen的部落格

Ban.Shen 發表在 痞客邦 留言(0) 人氣( 23 )

▲top

請先 登入 以發表留言。