各校园网用户:
最近能够穿透还原卡的“机器狗”及其新变种正在互联网大规模爆发,该病毒因为最初的版本采用电子狗的照片做图标而被命名为“机器狗”病毒,其变种繁多;近期的变种与以往“机器狗”变种不同,该新变种破坏性更强,目前在我校已经有感染和传播迹象,因其感染迅速,对系统和网络的破坏极大,而且严重影响到个人数据和隐私安全。
1.机器狗病毒主要表现(包括但不限于以下现象)
用户感染后启动系统输入口令登录时,可能会出现反复注销现象,或者无法正常进入桌面;该新变种病毒通过特殊技术直接改写系统文件,病毒驱动程序抢在系统还原卡驱动程序之前加载;各种杀毒软件无法正常使用,即使使用系统还原,也不能将“机器狗”写入的驱动文件删除。
2.“机器狗”病毒的主要危害
该病毒主是充当病毒木马下载器。病毒会修改注册表,让大多数流行的安全软件失效,然后疯狂地盗用用户的QQ账号密码、游戏账号密码、网上银行卡号密码等用户信息。
3.“机器狗”病毒的预防
鉴于该病毒危害严重性,信息与网络中心请广大校园网用户按以下要求开展对该病毒的防范和清除工作:
1.安装最新的SP补丁。XP系统的SP3升级包(安装后立即要重启一次):
http://secu.hfut.edu.cn/show.asp?id=701
2.新的系统安装后,或者打好SP3补丁后,不要打开C:盘之外的其他任何磁盘分区(切切!如果先前中过机器狗病毒,用我的电脑或资源管理器打开其他磁盘时会立即重新激活隐藏在D:、E:等分区中的病毒),而是立即上工大网安下载“移动介质病毒免疫补丁”( http://secu.hfut.edu.cn/show.asp?id=675)并直接运行,切勿保存到磁盘后再打开运行!按提示将补丁打完毕,立即重启系统才可生效,此后再打开任何分区都是比较安全的了(哪怕里面仍然存在Autorun型病毒)。
3.打齐最新系统安全补丁(此后系统会第一时间最快得到最新安全补丁):
http://.hfut.edu.cn
4.免疫恶意、病毒网址(下载后双击一次即可,无提示):
http://secu.hfut.edu.cn/show.asp?id=517
5.启用Windows网络防火墙并经常检查防火墙例外规则,如果发现不明项目则立即清除!
6.小心使用各种杀毒软件。经我们测试,目前各种杀软实际平均防毒有效率大约为40%左右,远远低于广告或枪手文章中的测试数据。因此不要把系统和网络的安全建立在杀毒软件上;个别正版劣质杀软会把病毒放进来再杀给用户看,甚至会主动攻击局域网(我校多起网络故障就是由于X星附带的防火墙的攻击所致);一些正版杀毒软件更是任由病毒把自己杀掉。依赖杀软会导致广大用户思想上的麻痹和对其他安全措施的疏忽,极易形成防毒与杀毒本末倒置。正确的做法是系统干净时尽量按前述步骤做好基础防护,其对抗病毒的有效率远远超过杀毒软件的效果。杀毒软件只是一种商品,而不是灵丹妙药,加强自我保护是关键,安装杀毒软件也只能是在做好基础安全配置的情况下的聊胜于无。
7.已经中机器狗病毒的用户的解决措施
想带毒杀毒把系统清理干净是极其困难的,建议先在工大网安下载各种专杀工具在桌面备用(http://secu.hfut.edu.cn/show.asp?id=692),每个工具都随意改一下文件名(否则病毒会禁止已知安全工具的运行),然后重启进入安全模式,运行这些机器狗病毒专杀工具进行尝试性清除。对于有一定能力的用户,可以在工大网安下载深山红叶PE系统工具光盘,从光盘引导到PE环境进行手工清除。这些方法仍然无效时,最好备份好系统分区中的工作文档后,格式化C:盘并重装系统,重装系统后立即按照上面的步骤打补丁、做防护!
机器狗专杀工具(傻瓜化解决方案):
http://210.45.240.132/show.asp?id=705
深山红叶PE系统工具箱光盘(刻盘使用):
http://210.45.240.132/show.asp?id=513
WSyscheck手工杀毒工具(需要一定安全知识和经验):
http://210.45.240.132/show.asp?id=503
特此通知,请广大校园网用户重视并加强防范;对于措施不力导致对校园网的干扰,或者给单位资料数据造成丢失或泄密的,将报告学校有关单位。
信息与网络中心
2008年5月9日