过年、生意两不误 侠诺教您防攻击(3)

    1、机器狗病毒肆虐，Qno侠诺教您防范解决之道

    近期，网吧用户深受"机器狗"病毒侵扰。它是一种可以穿透还原软件与硬件还原卡的病毒。通过释放pcihdd.sys驱动文件抢占还原软件的硬盘控制权。并修改用户初始化文件userinit.exe来实现隐藏自身的目的。此病毒为一个典型的网络架构木马型病毒，病毒穿透还原软件后将自己保存在系统中，定期从指定的网站下载各种木马程序来截取用户的帐号信息，危害极大。

    网管人员可通过两个方法检视是否遭受"机器狗"病毒感染。方法一，查看开启系统目录的 system32 文件夹中，是否有该文件版本标签，如果没有的话，表示已经中了机器狗。方法二，通过查看DRVERS目录下产生pcihdd.sys驱动文件，会在启动项加载"cmdbcs，mppds，upxdnd，winform，msccrt，avpsrv，msimms32，dbghlp32，diskman32"启动项，并在windows目录会产生以上相应文件，机器重启后以上设置都还真实保存，表示也中了"机器狗"病毒。

    由于"机器狗"病毒可穿透还原软件与硬件还原卡。一旦感染，就必须将病毒主机断网杀毒、恢复系统镜像或重做系统。而侠诺科技提出防制机器狗解决之道，可在防火墙中设定IP部分采用Access Rule规则阻挡，域名部分用"网页内容管制设定"阻挡，即可事先有效防范网吧客户端下载机器狗病毒。以下列出已公布隐含机器狗的IP地址、网址和域名，提供网吧用户作为建立防范机制的参考：

    （1）隐含机器狗病毒IP地址：59.34.198.103、58.51.62.182、58.211.254.103、60.190.118.211、60.190.223.117、60.190.222.150、60.190.222.235、60.190.203.150、60.191.124.236、61.152.101.128、202.104.57.161、218.83.175.154、219.153.55.113、221.130.191.207

    （2）隐含机器狗病毒网址和域名：www.tomwg.com、Yu.8s7.net、www.17max.cn、www.951ksf.com、www.pp365.com、www.111ss.com、www.11se.com、www.joppnqq.com、www.77886699.cn、www.94ak.com、www.99mmm.com、www.161816.com、www.91ni.com、www.35832.com、www.15197.com

    图六：用Qno侠诺防火墙有效封锁机器狗病毒网址

    图七：用Qno侠诺防火墙有效封锁机器狗病毒域名