近期,一种可以穿透各种还原软件与硬件还原卡的IGM.EXE病毒异常肆虐,大范围传播,很多网吧深受其害。此病毒利用微软公司的Windows(2000、XP、2003)系列操作系统的漏洞来进行传播,通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权,并修改用户初始化文件userinit.exe来实现隐藏自身的目的。如果局域网内一有台中该病毒的话(如网游服务器);整个局域网就会受到影响;甚至瘫痪。该病毒利用MAC地址欺骗进行局域网传播。 它能拦截局域网用户打开的网页,加载不定期修改的网站下载木马盗号器,然后打开的网页会自动关闭。木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞,整个网吧就会频繁掉线。
一、IGM 病毒中毒症状:
1、MSconfig的启动项及进程里发现IGM 或IGM.EXE
2、通过IE后台自动下载盗号木马型病毒
3、中毒的电脑会修改本机的MAC地址和IP地址,并不停的向局域网机器发MAC欺骗包导致整个网络掉线 。
程序用途:通过IE下载其他病毒,感染文件。盗取QQ、游戏帐号密码,并不停的向局域网机器发MAC欺骗包传播 ,导致网吧频繁掉线,无法运营。
二、传播方式:局域网内网传播, IE网页传播。
进程分析:该病毒修改注册表创建Run/WinSysM=C:\\WINDOWS\\IGM.exe实现自启动,病毒可能在各盘符下会生成:auto.exe, autorun.inf。并可能将大量病毒模块*****MM.DLL注入进程SVCHOST.EXE开始大量下载木马病毒 木马病毒自相残杀后在临时文件夹下随机生成病毒名并运行。 目前已知的所有还原软件和还原卡都无法抵抗这种还原的穿透。网吧行业可能即将面临病毒、盗号以及频繁掉线的高峰期。由于病毒是通过微软公司的Windows操作系统的漏洞来进行传播,因此不仅仅是通过物理防火墙可以解决的。
三、MZD平台软件防IGM病毒解决方案——制动进攻,治本除根:
MZD是国内网吧行业老牌专业企业湖南斯普林旗下的网吧平台软件,自1996年诞生以来历经五代版本演变十一年市场考验,拥有万余家网吧客户。面对目前肆虐的IGM病毒,MZD有十分有效的解决方案,无盘用户只需开启针对网吧安全需要专业设计的MZD防火墙即可防御IGM病毒入侵。因为一般防火墙只能被动防御,处理病毒,治标不治本。而MZD防火墙是进攻性的,采用底层驱动技术,从源头上杜绝恶意数据包发出,彻底消除病毒入侵。有盘用户使用最新的MZD有盘网吧信息管理平台软件,除了拥有一样强大的MZD防火墙外,MZD有盘自带的还原软件由于采用特殊设计,经严格测试IGM病毒并不能穿透还原,对MZD网吧用户网络安全能起到多重保护作用。
湖南斯普林十一年来一直专注与网吧行业,是由全国各地网协联合调查评选的2007网吧行业最值得信赖的品牌。作为拳头产品的MZD平台软件一直是我那个把行业业内翘楚,以高品质和超稳定著称。面对近年来越来越泛滥的网吧病毒攻击问题,MZD将高度重视,不断创新研发,完善产品,力求用科技的力量一路护航网吧网络安全,让网吧安全运营,顺利前行。
