高手支招！五步远离机器狗病毒侵扰

    继“熊猫烧香”之后，一种名为“机器狗”的恶性计算机病毒正在公用网络蔓延。这是第一种可以穿透硬盘“还原卡”保护功能的病毒，因为其图标酷似Sony机器狗“AIBO”而被称为“机器狗”病毒。 “机器狗”病毒会自动从互联网下载各种病毒木马，并借助ARP病毒以几何级数增长速度传播，用户应尽快采取措施，防止其造成网络大面积瘫痪。

　　在此前已知的病毒，对“还原卡”都无可奈何。但“机器狗”病毒通过自动释放驱动程序pcihdd.sys，可以采用物理直接读写方式绕过“还原卡”监控，感染Windows系统核心文件%SystemRoot% /system32/userinit.exe（可根据此文件的版本信息来判断，如果可以正常显示版本信息则证明一切正常，反之就肯定是“中招儿了”），从而穿透“还原卡”，造成系统重启后仍处于被病毒感染状态。同时，在“还原卡”环境下，传统杀毒软件不论是否升级，计算机重新启动后仍会退回到原先的版本，对“机器狗”病毒变种几乎没有查杀能力。更令人担忧的是，目前大多数所谓具有主动防御功能的杀毒软件，也不能对“机器狗”进行有效防范，公用网络面临着新的安全威胁。

　　解决办法：

　　1、由于机器狗病毒是借助于ARP欺骗的方式在局域网中传播，因此做好ARP欺骗的防范工作十分必要。建议有条件的网吧和企业，采用双向绑定策略，在交换机或路由器上绑定好全网的IP-MAC地址，在客户端绑定好网关的IP-MAC。这样即便是局域网中某台电脑感染了ARP病毒，该电脑也不会干扰全网的运行。双向绑定策略是抵御ARP病毒的好办法。如果不具备双向绑定的条件，可以采用划分VLAN 的方法，来隔离网络的不同区域，这样可以把ARP病毒的危害降低到最小。

　　2、更新好系统漏洞补丁，尤其是网页木马常用漏洞：MS06-014和MS07-017。绝大部分的网页木马都是利用以上两个系统漏洞入侵到计算机中的，因此打好补丁十分关键。

　　MS06-014 中文版系统补丁下载地址：
　　http://www.microsoft.com/china/technet/security/bulletin/MS06-014.mspx