win32.parite.a是当前高发的病毒。它感染所有的可执行文件,并且非常狡猾,让用户清除起来非常困难。同时作为一种相当容易传播的病毒,对我们使用电脑带来很大的威胁。本期,来自浙江的裘文锋使用雷霆手段,斩该病毒于马下。下面我们一起来看看裘文锋的精彩表演。文章病毒的目标——可执行文件“真倒霉,我下载的贺卡文件怎么都没用了!” 早上一上班,同事小刘MM愤愤不平的话语清晰地传到了我的耳畔。紧接着,她飘然而至:“这回得请电脑高手相助了!”面对MM的邀请,我二话没说就和她来到了事发现场。小刘MM在我面前想打开几个贺卡都遭到了失败,弹出了播放窗口。 “这是我珍藏的几个贺卡。”小刘MM告诉我。我仔细分析了这几个文件,结果发现可执行文件都被病毒感染,无法正常运行了。而且她的杀毒软件的可执行文件也无法运行。通过现场勘查,唯一的结论是小刘MM的电脑中毒了。那么,她的电脑中了什么病毒呢?我充分发挥自己在网络安全方面的特长,对小刘MM的上网行为进行了认真调查。从她口中得知,文件损坏是今天早上才发现的,因此很可能是昨天感染病毒的。我打开了小刘MM的IE访问历史记录,在历史记录中找到昨天的网址。为了不错过病毒留下的蛛丝马迹,我采用地毯式的排查方法。当我确定排除一个不用怀疑的网址时,便感到躲在角落的病毒离我近了一步。tW.WiNgwIt.CoM这时,我发现了一个下载绿色版本的Real player的页面。经过询问得知,昨天一个网友发来一个Real格式的生活视频,因为没有安装播放器,小刘便下载了安装了这个版本的Real player。对病毒的敏锐感觉告诉我:幕后主角很快会被我揪出来。我在自己的计算机开始下载该Real player文件。完成时,我最新升级的病毒防火墙弹出了病毒警报,显示的是win32.parite.a病毒。证据确凿,终于将小刘电脑的破坏者抓捕归案了。我胸有成竹地告诉小刘:“你的电脑中的文件损坏是由于带病毒的Real player引起的。”“真的吗?那么怎么清除这个病毒呢?”小刘信任地注视着我。翻查病毒档案我查询了一下win32.parite.a病毒的资料,发现这是一种当前高发病毒。win32.parite.a通过在win32pe类型文件(如:scr屏幕保护程序文件、exe可执行文件)的尾部加入加密的程序,PE的执行入口被修改为指向病毒解密代码,使它运行时转到病毒处,执行完病毒的流程然后再返回到宿主程序的代码从而可执行程序便无法正常工作。第一次运行时,win32.parite.a病毒会创建一个临时文件,而文件名则是随机的,比如: C:\WINDOWS\TEMP\pgt91F0.TMP。这是一个动态链接库文件,它包含了病毒的主要功能。而病毒会把本地的动态链接库文件存放在注册表的 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF键,运行时,病毒会附加在Explorer.exe文件上以便驻留内存。病毒会感染本地及它可以访问的网络驱动器上的exe和scr文件。任何exe和scr文件一旦运行,马上就被感染。斩杀顽固病毒鑒于win32.parite.a病毒的传染性,首先下载了流行病毒专杀工具spant.exe(下载地址:http://www.onlinedown.net/soft/20838.htm)。然后我拔除了小刘的网线,以切断病毒蔓延的路径。最后进行杀毒(图3)。杀毒时,按“Ctrl+Alt+Del”组合键打开任务管理器,停止“Explorer.exe”进程,此时任务栏和桌面将消失。按“Alt+Tab”组合键选中启动的杀毒软件,进行全面杀毒。最后重启进入安全模式,删除C:\WINDOWS\TEMP\下的文件和相应的注册表键。至此,病毒被成功清除。由于发现得早,感染文件数量不是很多,因此可以采取上述方法清除。如果,中毒严重很可能破坏所有可执行文件,建议使用杀毒软件的启动光盘进行杀毒。同时由于破坏文件太多,只能清除病毒后重新安装系统。病毒被清除之后,被病毒破坏的文件不能恢复。给MM上一堂安全课win32.parite.a病毒真好比是专吃可执行文件的白蚁,不知不觉就毁坏了大量的文件。当你意识到病毒侵入时,病毒造成的损失却已无法挽回。其实,病毒并非无孔不入,只要你提高警惕,就可以防患于未然了。我们要培养良好的上网习惯。尽量从大网站或者软件母网站下载,不下载或者尽量少下载绿色版本、破解版本的软件,从而阻止木马和病毒程序乘虚而入。上网平台的安全性同样重要。Windows XP自带的防火墙能力有限,你需要安装一款更强大的防火墙提高上网安全性。防火墙在如今木马病毒盛行的网络环境下将成为保护系统的第一道屏障。安装防火墙后,需要进行个性化配置,比如在瑞星防火墙中就有对游戏、QQ、MSN等网络程序进行实时防护。另外,防火墙也须注意更新,确保病毒第一时间被铲除。
|