熊貓也有模仿秀

最近碰到一個“兔寶寶”病毒，它模仿熊貓燒香，感染系統后把可執行文件的圖標換成兔子。該病毒制造者還在網上炫耀自己的病毒制造史，并囂張地留下了QQ號以及電子郵箱。這種行為實在不可取，應該受到譴責。筆者深信任何病毒都有一個固定的結局——最終必送命！

小試兔寶寶

為了切身感受兔寶寶病毒的危害，筆者在本地計算機上進行了測試。下載兔寶寶樣本，在影子系統下觀察它感染系統的過程。

運行兔寶寶后病毒文件就被釋放出來，系統目錄以外的可執行文件均被替換為260KB大小的病毒文件，文件名不變，但是圖標全部被換成兔寶寶（圖1），即使是殺毒軟件文件夾中的可執行文件也不例外。

接著，它將一個名為msexch400.dll的病毒模塊插入到進程winlogon.exe，這是為了保護自身。它還在硬盤各分區（包括閃盤、移動硬盤）根目錄下創建autorun.inf和Rabbit.exe文件，只要用戶雙擊該分區就會再次感染病毒。然后，它會修改系統中的注冊表選項，實現隨機啟動運行。

最后，它會結束大量安全軟件的進程，包括一些強悍的主動防御軟件Ti n yPersonal Firewall、System Safety Monitor和IceSword等。令筆者意外的是，這是第一次遇到可以突破Tiny文件保護的病毒。

手工清除

雖然現在大部分殺毒軟件可以清除兔寶寶，但是如果被它感染了，殺毒軟件就無法執行了。這種情況下，我們先要通過手工方法來進行清除（目前還沒有專殺工具）。

1.結束病毒進程

兔寶寶會自動結束很多安全工具的進程，連筆者常用的冰刃也沒了用武之地，不過好在筆者還有一款和冰刃一樣優秀的安全工具——SysCheck（下載地址：http://work.newhua.com/pcd）。

點擊主界面的“進程管理”按鈕，就能顯示出當前的所有進程，包括隱藏進程（如圖2）。從圖中可以看到病毒進程loveRabbit.exe，同時Winlogon進程用粉紅色顯示，這表示有線程插入，正常的Winlogn進程應該是黑色顯示的。

選中Winlogon進程后，下面的窗口就會顯示出插入的病毒模塊，在它上面點擊鼠標右鍵，選擇“采用重啟并延時刪除”命令。這樣系統重啟后就會直接刪除這個病毒模塊對應的文件。

再選中“兔寶寶”主進程loveRabbit.exe，用右鍵中的“加入到重啟刪除列表”命令。為避免病毒進程的重復加載，在手工清除過程中可以勾選“限制外部線程的創建”來禁止新的線程生成，或者直接通過鼠標右鍵中的“永久禁用指定進程”命令阻止該進程的運行。

2.修復注冊表

“兔寶寶”修改的注冊表信息，可以通過SysCheck中的“活動文件”選項來進行修復。點擊“檢測修復→活動文件”按鈕，就會顯示出包括啟動項在內的易被惡意程序改寫的系統注冊表鍵值，在圖3中可以看到有兩處被病毒修改了。選中它們，點擊下面的“修復所選”按鈕即可成功進行修復。

3.刪除病毒文件

最后重啟電腦，并通過“進程管理”查看是否清除干凈。如果沒有再次發現病毒進程，就可以開始刪除病毒文件了。

點擊“文件瀏覽”按鈕，SysCheck采用了一些反HOOK手段，可以直接查看隱藏的文件或文件夾。先到系統的System32目錄，找到病毒文件后，在右鍵菜單中的“強制刪除”命令。接著分別到每個磁盤分區中找到autorun.inf和Rabbit.exe，并逐個刪除。要注意的是，刪除前一定要看清楚文件名稱，不要誤刪系統文件喲。

4.全面掃描磁盤文件

由于兔寶寶破壞了原有的殺毒軟件，因此務必在將殺毒軟件修復或重新安裝，再更新到最新的病毒庫進行殺毒，或者直接利用網頁殺毒模式進行全盤殺毒處理，這樣就可以恢復被病毒感染的可執行文件。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。