拿起武器，消除病毒心理陰影

信息安全帶—迷糊蟲安全課堂

迷糊蟲：由于如今網(wǎng)上的病毒很猖獗，而我又不能離開上網(wǎng)這項日?；顒?，加上自己的電腦水平也不高，所以我總是懷疑自己的電腦是不是會中毒，自己的電腦是不是已經(jīng)中了病毒？我是不是有點像得了病毒恐懼癥呢？

老師：面對病毒這個敵人，造成心理恐慌的原因，一是你沒有足夠的知識準備，二是自己手中沒有掌握強有力的作戰(zhàn)武器。如果這兩樣東西都準備好了，你的病毒恐慌就自然而然地被戰(zhàn)勝了。

拿起武器，消除病毒心理陰影

總懷疑自己的電腦是否會中毒或是否已中毒該怎么辦？

在使用電腦的過程中，你是不是遇到過電腦突然自動關(guān)閉的情況？你有沒有遇到過某些文件丟失或無法打開的情況？你是不是覺得你的程序運行比以前變得更加緩慢？

此類現(xiàn)象是硬件或軟件故障的常見表現(xiàn)。此外，還有一種可能，那就是你的計算機系統(tǒng)可能已經(jīng)感染了病毒。

遇到這些異常情況，也許大家首先關(guān)心是不是自己的系統(tǒng)感染了病毒。那么，對是不是病毒在作怪這個問題，如何進行區(qū)分呢？這里為大家提供一些可以參考的方法。

◇ 運行惡意軟件查殺工具

“惡意軟件”指病毒、蠕蟲和特洛伊木馬，這些小程序會干擾或破壞計算機的正常工作并可能損壞文件。如果你的計算機中感染了病毒，Microsoft提供的Windows惡意軟件刪除工具可用于刪除這些病毒。軟件下載地址（http://www.microsoft.com/downloads/details.aspx?FamilyID=AD724AE0-E72D-4F54-9AB3-75B8EB148356displaylang=zh-cn）。這款免費工具可以快速檢查運行Windows 2000、Windows Server 2003、Windows Vista和Windows XP的計算機是否感染了病毒。但其檢測范圍僅限于當前傳播的常見惡意軟件類型。

小提示

除此之外，國產(chǎn)的360安全衛(wèi)士也是一款口碑很好的惡意軟件檢查和刪除工具，它的更新很及時，你可以選擇讓它來把你的電腦安全關(guān)。

你的系統(tǒng)即使沒有警告可能感染病毒，你也可以定期運行惡意軟件刪除工具。在啟動微軟惡意軟件刪除工具后，它將掃描你的計算機內(nèi)存，查看有無已知惡意軟件，并終止查找到的任意惡意進程。它還可以刪除與惡意進程相關(guān)的文件，并取消與惡意進程相關(guān)的系統(tǒng)更改。該工具可能會要求你重新啟動計算機或執(zhí)行某些手動步驟。病毒檢測和刪除進程完成后，該工具將顯示一則報告描述結(jié)果。

◇ 更新防護軟件并掃描系統(tǒng)

惡意軟件刪除工具僅查找部分已知病毒，即最嚴重和最新的侵犯程序。它也僅檢測當前正在運行的惡意軟件。這意味著它可能錯過一些處于非活動狀態(tài)或不常見的病毒。為了彌補這些限制，你應當使用防病毒軟件掃描系統(tǒng)，查看有無其他類型的病毒。如果你的電腦中現(xiàn)在仍未安裝防病毒軟件，請立即下載免費殺毒軟件或購買商業(yè)殺毒軟件并安裝！現(xiàn)在有不少優(yōu)秀的商業(yè)殺毒軟件也推出三個月、六個月甚至更長時間的完全免費使用服務。比如卡巴斯基、瑞星、趨勢等均有免費版本可供下載免費使用。

如果你的防病毒軟件漏掉了某種病毒，則可能是因為你沒有用最新的病毒定義文件來更新軟件。掃描系統(tǒng)之前，請下載并安裝所有可用更新組件。如果你的電腦無法連接至Internet下載更新數(shù)據(jù)包，則將更新數(shù)據(jù)包下載至同事或朋友的計算機上，然后復制到優(yōu)盤并在你的計算機上安裝即可。

◇ 注意還原文件中隱藏著的病毒

此外，在啟動掃描之前，關(guān)閉Windows XP中的系統(tǒng)還原功能（此功能可將你的計算機恢復至較早的狀態(tài)）是很有必要的。此工具會將所選文件自動備份至C:\\_Restore文件夾，這雖然能為你恢復以前的系統(tǒng)數(shù)據(jù)提供便利，但也帶來了病毒的隱患。那就是說，這意味著在備份系統(tǒng)有用文件的同時，受到感染的文件也可能會被作為備份文件存儲起來，病毒掃描工具將無法刪除它。所以，你必須禁用系統(tǒng)還原工具才能從C:\\_Restore文件夾中刪除受到感染的文件。

要禁用系統(tǒng)還原，請用鼠標右鍵單擊桌面上“我的電腦”圖標并單擊“屬性”，單擊“系統(tǒng)還原”選項卡，并選擇“在所有驅(qū)動器上關(guān)閉系統(tǒng)還原”復選框。

現(xiàn)在繼續(xù)病毒掃描，并按照說明處理找到的受到感染的文件。如果防病毒程序無法自動刪除病毒，則應隔離受到感染的文件，然后再尋找手動修復的方法。值得注意的是，某些病毒是無法從受感染對象中刪除的。如果無法從文件中刪除某個病毒，則應將該文件刪除。

請記得掃描所有可能受病毒感染的磁盤和可移動存儲介質(zhì)，不要只掃描系統(tǒng)盤就了事。

◇ 更進一步的病毒識別和處理辦法

如果你的計算機感染了病毒，而使用軟件掃描無法發(fā)現(xiàn)病毒證據(jù)，又該怎么辦呢？下面為你提供了一些其他診斷方法。

建議之一：使用其他防病毒產(chǎn)品進行掃描。并非所有防病毒軟件的功能都相同。也許新生的某種病毒可以躲過你正在使用的防病毒程序，這時你就應該嘗試使用其他防病毒程序掃描計算機。你可以在某些提供免費掃描服務的知名安全公司網(wǎng)站執(zhí)行在線查毒操作，比如金山毒霸在線查毒。

建議之二：監(jiān)視你的網(wǎng)絡。如果你的計算機在未使用Internet時仍表現(xiàn)為聯(lián)機狀態(tài)，則可能已感染病毒。為了能夠更加密切地監(jiān)視你的網(wǎng)絡活動，你可以在系統(tǒng)托盤處顯示網(wǎng)絡狀態(tài)指示燈，它會在網(wǎng)絡活動期間閃爍顯示。具體步驟為：在Windows XP中，依次選擇“開始→控制面板→網(wǎng)絡連接”，用鼠標右鍵單擊你想要監(jiān)視的網(wǎng)絡連接。然后選擇“屬性”，選擇“連接后在通知區(qū)域顯示圖標”，然后單擊“確定”。

如果你發(fā)現(xiàn)了病毒，或確實懷疑有病毒，則應當立即斷開Internet連接或任何本地網(wǎng)絡連接，以避免病毒傳播。如果計算機仍然反應異常，但并未找到病毒，則考慮將系統(tǒng)還原至先前運行良好的狀態(tài)。當然你必須在此之前做過系統(tǒng)的備份。

謹防“QQ搶劫犯”和“殺手小杰”

江民反病毒中心提醒用戶謹防“QQ搶劫犯”變種adw和“殺手小杰”病毒?！癚Q搶劫犯”能夠竊取用戶QQ密碼，“殺手小杰”能夠盜取玩家網(wǎng)絡游戲“大話西游II”的登錄賬號、登錄密碼、倉庫密碼、角色等級、金錢數(shù)量、所在區(qū)服、計算機名稱等信息資料。

江民反病毒專家介紹，“QQ搶劫犯”變種adw（Trojan/PSW.QQRobber.adw）是“QQ搶劫犯”木馬家族的最新成員之一，采用Delphi語言編寫，并經(jīng)過添加保護殼處理?！癚Q搶劫犯”變種adw運行后，復制自身到被感染計算機系統(tǒng)“啟動”目錄下，重命名為“系統(tǒng)補丁*.exe”（其中*號代表計算機名），并在“Program Files\\Common Files\\Microsoft Shared\\MSInfo\\”目錄下釋放病毒組件atmQQ2.dll，通過修改注冊表實現(xiàn)木馬開機自啟動; 將病毒組件atmQQ2.dll插入到所有用戶進程中運行; 查找并結(jié)束某些安全軟件并通過修改系統(tǒng)時間使某款安全軟件失效; 嘗試刪除QQDoctor.exe文件，防止QQ登錄前查殺木馬; 在后臺秘密監(jiān)視用戶的操作，當用戶登錄QQ時利用HOOK技術(shù)記錄用戶的鍵盤操作，盜取QQ密碼，并將用戶的賬號密碼等機密信息發(fā)送到黑客指定的遠程服務器中，給用戶造成一定的損失。

“驅(qū)動殺手”變種a（TrojanDropper.Driver.a）也叫“殺手小杰”，是木馬家族的最新成員之一，采用VC++ 6.0編寫，并經(jīng)過加殼處理?！膀?qū)動殺手”變種a運行后，會先在被感染計算機的后臺替換系統(tǒng)“%SystemRoot%\\system32\\drivers\\”目錄下的驅(qū)動文件“beep.sys”（替換后的惡意驅(qū)動程序文件大小為2560字節(jié)），接著將該惡意驅(qū)動程序注冊為系統(tǒng)服務，用來還原系統(tǒng)SSDT HOOK，從而使部分安全軟件的保護功能失效，達到躲避安全軟件的防御和查殺的目的。最后將該惡意驅(qū)動程序文件刪除，并在被感染計算機系統(tǒng)的“%SystemRoot%\\system32\\dllcache\\”目錄下拷貝一個正常的原系統(tǒng)驅(qū)動文件beep.sys來覆蓋還原被病毒替換的系統(tǒng)驅(qū)動文件。

病毒會在被感染計算機系統(tǒng)的臨時文件夾下釋放惡意DLL組件文件tmp1.tmp（文件大小為13873字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），在“%SystemRoot%\\system32\\”目錄下釋放惡意DLL組件文件msosdohs00.dll（文件大小為13873 字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），在“%SystemRoot%\\system32\\drivers\\”目錄下釋放惡意驅(qū)動文件msosmsfpfis64.sys（文件大小為2560 字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），還會在“%SystemRoot%\\system32\\”目錄下創(chuàng)建一個配置文件msosdohs.dat。

“驅(qū)動殺手”變種a運行時，會將惡意驅(qū)動程序msosmsfpfis64.sys注冊為系統(tǒng)服務，用來還原系統(tǒng)SSDT HOOK，從而使部分安全軟件的保護功能失效，達到躲避安全軟件的防御和查殺的目的; 會把惡意DLL組件程序msosdohs00.dll插入到所有用戶級權(quán)限的進程中加載運行，防止被用戶發(fā)現(xiàn); 會在被感染計算機系統(tǒng)的后臺利用HOOK和內(nèi)存截取等技術(shù)盜取玩家網(wǎng)絡游戲“大話西游II”的登錄賬號、登錄密碼、倉庫密碼、角色等級、金錢數(shù)量、所在區(qū)服、計算機名稱等信息資料; 并且會在被感染計算機后臺將竊取到的這些信息資料發(fā)送到黑客指定的遠程服務器站點“http://www.775911.cn/xiaojie/xjdg886/2564326423657lin.asp”上。由于病毒發(fā)送密碼的服務器根目錄文件名為“xiaojie”（小杰），該病毒被懷疑系一名為“小杰”的黑客編寫，因此該病毒也被稱為“殺手小杰”。

江民反病毒專家提醒用戶，由于以上病毒均具有關(guān)閉殺毒軟件的功能，因此電腦用戶務必選擇安裝一款自我保護能力強大的殺毒軟件來保護電腦數(shù)據(jù)安全，務必及時更新殺毒軟件病毒庫，開啟“主動防御”和“實時監(jiān)測”功能，以防御病毒于系統(tǒng)之外。