来源:IT人网

一直以来，网吧客户机凭借还原卡或诸如Deepfreeze（俗称“冰点”）、还原精灵等还原措施的保护，轻松躲过了诸多病毒灾难的浩劫。然而，臭名昭著的“机器狗”病毒的出现，不仅打破了还原卡是网吧操作系统保护神的说法，也让众多网吧技术人员手忙脚乱。至今，防范“机器狗”病毒尚没有完善成熟的方案，IMG病毒又大军来袭，网吧成为顽固病毒的泛滥之地。由于IMG病毒不仅可以破坏网吧的还原系统，还具有ARP病毒的破坏能力，如何查杀IMG病毒并防范成为网吧的一大技术难题。下面，笔者简单叙述一下查杀IMG病毒的常用方法和防范心得。

    全面了解IMG病毒的几大特征
    对于凶猛的IMG病毒，目前杀毒软件仅仅能够识别该病毒，而不能在保证系统正常运行的基础上将该病毒删除，这意味着对付IMG病毒只能用手工方法查杀，或者是用技术手段防范IMG病毒感染网吧客户机。要想查杀病毒，必须认清病毒的本质，杀毒软件的工作原来亦是如此。下面，我们不妨看一下IMG病毒的真面目，并找出其弱点。

    其实，IMG病毒与此前流行的“机器狗”病毒有着一些相似，只要用户点击了带有病毒的WEB页面，机器将会感染IMG病毒。感染了IMG病毒的机器还会自动下载带有ARP欺骗代码的盗号木马，而且可以穿透市面上大部分还原系统。具体来说，IMG病毒主要有以下几个特征：图一

    IMG病毒的特征

    1、破坏还原系统：如同肆虐疯狂的“机器狗”病毒一样，IMG病毒也是通过userinit.exe文件穿透还原系统。目前，IMG病毒可以破坏市面上大部分还原系统，包括硬件类的还原卡，以及诸如Deepfreeze、还原精灵、虚拟还原等各种还原软件。在成功穿透还原软件或还原卡之后，IMG病毒还会再次修改还原软件，并将病毒自身存储在操作系统中，从而完成传播过程。

    2、生成IGM进程：当计算机感染了IMG病毒之后，系统进程中会生成一个名字为“IGM.EXE”的进程，磁盘分区也会有auto.exe和autorun.inf两个文件。在msconfig的启动项中，也会有IGM.EXE。IMG病毒还具备自动启动和自我保护的特点，这为手工清除IMG病毒增加了一定的难度。

    3、自动下载木马软件：当IMG病毒进入操作系统之后，会自动登录互联网，下载木马软件。目前，IMG病毒会自动下载盗号软件，以及一些破坏类的木马软件。下载盗号软件之后，通过ARP欺骗盗取网吧顾客的游戏帐号资料，以及诸如QQ、MSN等即时通讯软件的密码；而破坏类的木马软件，则是不断向整个网络发送数据包，致使网络阻塞，达到让网吧网络瘫痪的目的。

    4、生成系统服务：感染了IMG病毒的电脑，还会在系统的msconfig选项中生成一个名字为“4f506c9e”的服务，该服务随操作系统自动运行。

    从IMG病毒的特征可以看出，该病毒与“机器狗”病毒实在是太像了。其实，破坏还原系统的方式，IMG病毒和“机器狗”是异曲同工之妙。下面，我们不妨寻找一下IMG病毒的弱点，这样才能对症下药，消灭IMG病毒。