近期,一种可以穿透各种还原软件与硬件还原卡的机器狗(又称igm)病毒异常肆虐。此病毒利用微软公司的Windows(2000、XP、2003)系列操作系统的漏洞来进行传播,通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权,并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从不固定的网站下载各种木马程序来截取用户的帐号信息,同时由内网发送大量的攻击包,导致了内网的资源严重消耗,当达到一个临界值的时候,整个网吧就会频繁掉线。
igm病毒中毒症状
1、MSconfig的启动项及进程里发现igm.EXE
2、通过IE后台自动下载盗号木马型病毒
3、中毒的电脑会修改本机的MAC地址和IP地址,并不停的向局域网机器发MAC欺骗包导致整个网络掉线
igm病毒特征: 进程文件:igm或igm.exe
进程位置:%windir%\
程序名称:Troj_dl.Win32.Delf.IGM
程序用途:通过IE下载其他病毒,感染文件.盗取QQ.游戏帐号密码,并不停的向局域网机器发MAC欺骗包传播
传播方式一:局域网
传播方式二:IE
进程分析:该病毒修改注册表创建Run/WinSysM=C:\WINDOWS\IGM.exe实现自启动,病毒可能在各盘符下会生成:auto.exe, autorun.inf。并可能将大量病毒模块*****MM.DLL注入进程SVCHOST.EXE开始大量下载木马病毒 木马病毒自相残杀后在临时文件夹下随机生成病毒名并运行。
注:目前已知的所有还原软件和还原卡都无法抵抗这种还原的穿透。根据我们对这个病毒源码的分析来看,网吧可能即将面临病毒、盗号以及频繁掉线的高峰期。由于病毒是通过微软公司的Windows操作系统的漏洞来进行传播,因此不仅仅是通过路由器可以解决的。这一点是大家一定要明确的。
解决方案
飞鱼星公司经过大量的针对此病毒的测试以及样本的分析为大家推荐一种目前最有效的解决方案
飞鱼星路由器的防御措施(以Volans 4950GP为例)
1、登陆路由器WEB界面-IP-MAC绑定-扫描并绑定内网所有PC机IP和MAC地址信息并勾选 禁止未绑定主机通过(图一)
2、网络安全-攻击防御-开启ARP欺骗防御保护(图二)
3、客户端上的ARP绑定必须是静态绑定的,如果是扫描绑定的网关物理地址的,当有机器中毒将会影响到扫描绑定的用户。
4、由于病毒是通过微软的系统漏洞来进行传播,因此必须为操作系统打全所有补丁
5、可以搜索一下关于机器狗igm病毒的免疫补丁(对已经中毒的用户此免疫无效)
准备迎接网吧的恶梦到来,同时希望大家来我们的网站发表自己的感想和解决方法,希望能集思广益一起解决这个病毒。