病毒的目標——可執行文件
“真倒霉,我下載的賀卡文件怎麼都沒用了!” 早上一上班,同事小劉MM憤憤不平的話語清晰地傳到了我的耳畔。緊接著,她飄然而至:“這回得請電腦高手相助了!”面對MM的邀請,我二話沒說就和她來到了事發現場。
小劉MM在我面前想打開幾個賀卡都遭到了失敗,彈出了播放窗口。 “這是我珍藏的幾個賀卡。”小劉MM告訴我。我仔細分析了這幾個文件,結果發現可執行文件都被病毒感染,無法正常運行了。而且她的殺毒軟件的可執行文件也無法運行。通過現場勘查,唯一的結論是小劉MM的電腦中毒了。那麼,她的電腦中了什麼病毒呢?
我充分發揮自己在網絡安全方面的特長,對小劉MM的上網行為進行了認真調查。從她口中得知,文件損壞是今天早上才發現的,因此很可能是昨天感染病毒的。我打開了小劉MM的IE訪問歷史記錄,在歷史記錄中找到昨天的網址。為了不錯過病毒留下的蛛絲馬跡,我采用地毯式的排查方法。當我確定排除一個不用懷疑的網址時,便感到躲在角落的病毒離我近了一步。tW.WiNgwIt.CoM
這時,我發現了一個下載綠色版本的Real player的頁面。經過詢問得知,昨天一個網友發來一個Real格式的生活視頻,因為沒有安裝播放器,小劉便下載了安裝了這個版本的Real player。對病毒的敏銳感覺告訴我:幕後主角很快會被我揪出來。
我在自己的計算機開始下載該Real player文件。完成時,我最新升級的病毒防火牆彈出了病毒警報,顯示的是win32.parite.a病毒。證據確鑿,終於將小劉電腦的破壞者抓捕歸案了。我胸有成竹地告訴小劉:“你的電腦中的文件損壞是由於帶病毒的Real player引起的。”“真的嗎?那麼怎麼清除這個病毒呢?”小劉信任地注視著我。
翻查病毒檔案
我查詢了一下win32.parite.a病毒的資料,發現這是一種當前高發病毒。win32.parite.a通過在win32pe類型文件(如:scr屏幕保護程序文件、exe可執行文件)的尾部加入加密的程序,PE的執行入口被修改為指向病毒解密代碼,使它運行時轉到病毒處,執行完病毒的流程然後再返回到宿主程序的代碼從而可執行程序便無法正常工作。
第一次運行時,win32.parite.a病毒會創建一個臨時文件,而文件名則是隨機的,比如: C:\WINDOWS\TEMP\pgt91F0.TMP。這是一個動態鏈接庫文件,它包含了病毒的主要功能。而病毒會把本地的動態鏈接庫文件存放在注冊表的 HKEY_CURRENT_USER\Software\Microso
ft\Windows\CurrentVersion\Explorer\PINF鍵,運行時,病毒會附加在Explorer.exe文件上以便駐留內存。
病毒會感染本地及它可以訪問的網絡驅動器上的exe和scr文件。任何exe和scr文件一旦運行,馬上就被感染。
斬殺頑固病毒
鑒於win32.parite.a病毒的傳染性,首先下載了流行病毒專殺工具spant.exe(下載地址:http://www.onlinedown.net/soft/20838.htm)。然後我拔除了小劉的網線,以切斷病毒蔓延的路徑。最後進行殺毒(圖3)。
殺毒時,按“Ctrl+Alt+Del”組合鍵打開任務管理器,停止“Explorer.exe”進程,此時任務欄和桌面將消失。按“Alt+Tab”組合鍵選中啟動的殺毒軟件,進行全面殺毒。最後重啟進入安全模式,刪除C:\WINDOWS\TEMP\下的文件和相應的注冊表鍵。
至此,病毒被成功清除。由於發現得早,感染文件數量不是很多,因此可以采取上述方法清除。如果,中毒嚴重很可能破壞所有可執行文件,建議使用殺毒軟件的啟動光盤進行殺毒。同時由於破壞文件太多,只能清除病毒後重新安裝系統。病毒被清除之後,被病毒破壞的文件不能恢復。
給MM上一堂安全課
win32.parite.a病毒真好比是專吃可執行文件的白蟻,不知不覺就毀壞了大量的文件。當你意識到病毒侵入時,病毒造成的損失卻已無法挽回。其實,病毒並非無孔不入,只要你提高警惕,就可以防患於未然了。
我們要培養良好的上網習慣。盡量從大網站或者軟件母網站下載,不下載或者盡量少下載綠色版本、破解版本的軟件,從而阻止木馬和病毒程序乘虛而入。
上網平台的安全性同樣重要。Windows XP自帶的防火牆能力有限,你需要安裝一款更強大的防火牆提高上網安全性。防火牆在如今木馬病毒盛行的網絡環境下將成為保護系統的第一道屏障。
安裝防火牆後,需要進行個性化配置,比如在瑞星防火牆中就有對游戲、QQ、MSN等網絡程序進行實時防護。另外,防火牆也須注意更新,確保病毒第一時間被鏟除。
From:http://tw.wingwit.com/Article/Network/201309/513.html