寻找并清除局域网内隐性病毒

2009-03-31 09:38:59    业界 |  评论(2) |  浏览(171) 　　各种病毒时至今日也可算是百花齐放了，搞得人心惶惶，一旦发现自己的电脑有点异常就认定是病毒在作怪，到处找杀毒软件，总之似乎不找到"元凶"誓不罢休一样，结果病毒软件是用了一个又一个，但结果有时却往往在意料之外。

　　病毒藏匿

　　任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？

　　当我们确认系统中存在病毒时，可以通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，我们定义这种现象病毒为隐性病毒，常见隐性病毒的有以下几种情况：

　　一、真假难辨

　　我们知道系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下，发现区别了么?这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

　　二、表里不一

　　如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2003则是C:\WINNT\system32目录)，如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程?

　　我们知道病毒种类很多，只要我们仔细地去发现，总能找到病毒源头。因为病毒传播的途径在不断地变化，黑客才能达到想要的目的，所以我们清除病毒方法也不能固定不变的，但是给我们清除病毒带来一定的困难，可以根据你的计算机所中病毒特征，判断出并借鉴哪种策略来清除病毒目的。
 病毒清理总汇

　　一、在安全模式或纯DOS模式下清除病毒

　　当计算机感染病毒的时候，绝大多数的感染病毒的处理可以在正常模式下彻底清除病毒，这里说的正常模式准确的说法应该是实模式(Real Mode)，这里通俗点说了。其包括正常模式的 Windows 和正常模式的 Windows 下的 "MS-DOS 方式 " 或 " 命令提示符 " 。 但有些病毒由于使用了更加隐匿和狡猾的手段往往会对杀毒软件进行攻击甚至是删除系统中的杀毒软件的做法，针对这样的病毒绝大多数的杀毒软件都被设计为在安全模式可安装、使用、执行杀毒处理。在安全模式(Safe Mode)或者纯DOS下进行清除清除时，对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模式下彻底清除的，不必要像以前那样必须要用软盘启动杀毒；但对于一些引导区病毒和感染可执行文件的病毒才需要在纯 DOS下杀毒(建议用干净软盘启动杀毒)。

　　二、带毒文件在一些邮件文件中

　　绝大多数的防毒软件可以直接检查这些邮件文件中的文件是否带毒，对于邮箱中的带毒的信件，可以根据用户的设置杀毒或删除带毒邮件，但是由于此类邮箱的复合文件结构，易出现杀毒后的邮箱依旧可以检测到病毒情况，这是由于没有压缩邮箱进行空间释放的原因导致的，您可以尝试在 Outlook Express 中选择“工具” — 〉“选项” — 〉“维护” — 〉“立即清除” — 〉“压缩” ，删除所有脱机内容 ，也请选上一并删除。


　　三、带毒文件在 Restore 目录下，*.cpy 文件中

　　这是系统还原存放还原文件的目录，只有在装了Windows Me/XP/VISTA操作系统上才会有这个目录，由于系统对这个目录有保护作用。对于这种情况需要先取消" 系统还原 " 功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。

　　四、带毒文件在.rar 、.zip 、.cab 等压缩文件中

　　对于绝大多数的反病毒软件来说，现在的查杀压缩文件中病毒的功能已经基本完善了，单是对于一些特殊类型的压缩文件或者加了密码保护的压缩文件就可能直接清除了。要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。

　　五、文件中存在病毒的残留代码

　　这种情况比较多见的就是带有 CIH 、Funlove 、宏病毒(包括 Word 、 Excel 、 Powerpoint 和 Wordpro 等文档中的宏病毒)和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是 int 等结尾，而且并不常见，如 W32/FunLove.app 、W32.Funlove.int 。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。也可以借助相关的清除工具及修改注册表来完成。

　　六、共享目录杀毒 :

　　遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件时，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成新病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。 对远程的共享目录(包括映射盘)查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。