識破病毒伎倆

當您從網上下載了一個軟件，但是對其安全性有所懷疑時，在運行該程序之前，為了安全起見，最好在虛擬機中對其進行分析測試。在虛擬機中啟動Total Uninstall這款工具，在其主界面工具欄依次點擊“已監控程序”和“安裝”按鈕，點擊“下一步”按鈕，Total Uninstall開始拍攝系統當前快照，之后在“程序名稱”欄中輸入目標程序名稱，例如“病毒檢測”，選擇需要檢測的可疑程序，點擊“啟動安裝程序”按鈕，激活該可疑程序。如果是病毒或者木馬程序的話，往往會發現其不像正常軟件一樣出現安裝界面，而是幾乎沒有任何反應，這就說明該惡意程序已經悄然運行了。

圖1 在Total Uninstall查看監控信息

之后點擊“程序已安裝”按鈕，Total Uninstall再次拍攝系統快照。在Total Uninstall主界面（如圖1所示）中的“已監控”欄中選擇“病毒檢測”項，在窗口右側打開“文件系統”節點，看到該病毒在“C:Program FilesCommon FilesMicrosoft SharedMSInfo”文件夾中生成了一個記錄文件、一個病毒主文件。在“C:Windows”中創建了名為“reserver.exe”的程序，之后在“C:WindowSystem32”文件夾中生成了名為“_rejoince.exe”的隱藏文件，而且病毒很快就刪除了“C:Windows”中“reserver.exe”文件來隱蔽自身行蹤。在“注冊表”欄中看到該病毒將自身偽裝成了名為“系統媒體服務”的服務，并指向上述路徑中的病毒程序。清除病毒的方法是重啟電腦進入安全模式，根據以上線索將病毒文件全部刪除，在注冊表編輯器中打開“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，刪除其下的“Windows Media Service”子鍵，該病毒就徹底失去了活力。