引言： 筆者需要使用某款工具軟件，圖省事就在網(wǎng)上隨意下載了該軟件的壓縮包，因?yàn)榘惭b有殺軟和個(gè)人防火墻軟件，所以就比較放心的打開該壓縮包，結(jié)果導(dǎo)致被惡意程序侵襲，特寫此文，以提醒讀者朋友不能大意。

下載壓縮包后，解壓該注冊機(jī)包，雙擊解壓后得到的為“FFN-keygenv9.exe”的程序，彈出注冊界面，看起來一切正常。但是，和殺軟配套使用的某某衛(wèi)士卻提示“svchost.exe程序試圖將自身添加到啟動項(xiàng)”的信息框。筆者沒有多想就點(diǎn)擊同意了，因?yàn)楹芏嘬浖枷矚g將自身添加到啟動項(xiàng)中。不過，筆者安裝的某款個(gè)人防火墻軟件卻意外退出了，當(dāng)筆者試圖重啟該防火墻時(shí)，系統(tǒng)提示找到不對應(yīng)的程序。

根據(jù)以上跡象，看來定有不法之徒在蠢蠢欲動。馬上啟動殺軟，對全盤進(jìn)行掃描，不過奇怪的是，殺軟卻報(bào)告沒有發(fā)現(xiàn)可疑分子。運(yùn)行“msconfig.exe”程序，在系統(tǒng)配置實(shí)用程序窗口中的“啟動”面板中的確發(fā)現(xiàn)了名稱 為“Microsoft Wizard”，路徑為“C:Windowssvchost.exe”的可疑啟動項(xiàng)。估計(jì)其一定和剛才使用的注冊機(jī)有關(guān)，于是打開注冊機(jī)壓縮包，在其中發(fā)現(xiàn)兩個(gè)文件，奇怪的是將其解壓后，卻只有一個(gè)文件。筆者仔細(xì)查看了該壓縮包，發(fā)現(xiàn)了其中的問題。兩個(gè)文件名稱為“FFN-keygenv9.exe”和“FFN-keygenv9.exe”，乍一看完全一致，其實(shí)第一個(gè)文件主文件名后面有一個(gè)空格，另外一個(gè)卻沒有。之所以解壓后只有一個(gè)文件，一定是其中一個(gè)文件具有系統(tǒng)和隱藏屬性的緣故。打開文件夾選項(xiàng)窗口，在“查看”面板中“隱藏文件和文件夾”下的“顯示所有文件和文件夾”一項(xiàng)消失了。

由此分析，“FFN-keygenv9 .exe”應(yīng)該是主文件，其具有系統(tǒng)和隱藏屬性，另外一個(gè)文件是冒牌貨，當(dāng)解壓之后，“FFN-keygenv9 .exe”自動隱藏，顯示的是“FFN-keygenv9.exe”文件，雙擊該程序后，它會自動調(diào)用處于隱藏狀態(tài)的“FFN-keygenv9 .exe”程序，顯示正常的注冊機(jī)給用戶，而“FFN-keygenv9.exe”則執(zhí)行自身的代碼，包括釋放名為“svchost.exe”程序，并將其藏到啟動項(xiàng)中。為了驗(yàn)證這一想法，筆者在CMD窗口中切換到解壓后的注冊機(jī)路徑中，執(zhí)行“dir /a”命令，果然看到了處于隱藏狀態(tài)的“FFN-keygenv9 .exe”文件。接下來就要清除這些惡意分子。首先在CMD窗口中執(zhí)行“attrib -a -h -s -r *.*”和“del *.*”命令，將注冊機(jī)文件全部刪除。之后在任務(wù)管理器中找到“svchost.exe”進(jìn)程，注意其對應(yīng)的是Administrator賬戶，不要殃及正確的“Svchost.exe”進(jìn)程。當(dāng)試圖終止該進(jìn)程時(shí)，卻發(fā)現(xiàn)根本無法將其結(jié)束。既然這樣，不如來個(gè)釜底抽薪，將啟動項(xiàng)中的“svchost.exe”清除。運(yùn)行“msconfig.exe”程序，將名為“Microsoft Wizard”的啟動項(xiàng)刪除。之后重啟系統(tǒng)，以為這樣就萬事大吉了。不過當(dāng)重啟之后，系統(tǒng)出現(xiàn)藍(lán)屏故障，無法進(jìn)入Windows。看來問題沒有那么簡單，重啟之后點(diǎn)擊F8鍵，調(diào)出系統(tǒng)啟動菜單，選擇“最后一次的正確配置”項(xiàng)，終于可以進(jìn)入系統(tǒng)。在CMD窗口中進(jìn)入“C:Windows”文件夾，手工刪除“svchost.exe”程序。之后卻發(fā)現(xiàn)所有的EXE程序都無法啟動了。當(dāng)試圖運(yùn)行EXE程序時(shí)，系統(tǒng)彈出打開方式窗口，讓用戶選擇目標(biāo)軟件。

其實(shí)，以上現(xiàn)象只是說明EXE文件的關(guān)聯(lián)被惡意修改了。因?yàn)橹耙呀?jīng)打開了CMD窗口，所有可以正常執(zhí)行命令。其實(shí)，也可以采取將“cmd.exe”更名為“cmd.com”之類的方法，來順利啟動CMD窗口。在CMD窗口中運(yùn)行“assoc .exe”命令，顯示“.exe=exefile”，看起來沒有問題。但是運(yùn)行“ftype exefile” 命令，就出現(xiàn)問題了，在正常狀態(tài)下。應(yīng)該顯示“exefile="%1"%*”字樣，但是這里卻顯示為“exefile=C:Windowssvchost.exe "%1" %*”，說明在運(yùn)行EXE程序前，必須運(yùn)行已經(jīng)被刪除的“svchost.exe”才行。執(zhí)行“ftype exefile="%1" %*”命令，修復(fù)了EXE程序的關(guān)聯(lián)關(guān)系，之后就可以順利啟動EXE程序了。因?yàn)樵谶\(yùn)行上述“FFN-keygenv9.exe”程序后，其自動終止并卸載了筆者安裝的某款個(gè)人防火墻。筆者就重新安裝了該防火墻軟件，讓其繼續(xù)保護(hù)系統(tǒng)安全。為了進(jìn)一步了解該惡意程序，筆者重新運(yùn)行了“FFN-keygenv9.exe”程序，并在防火墻中對其活動進(jìn)行了監(jiān)視，發(fā)現(xiàn)該程序釋放出的“svchost.exe”程序，會自動和IP為“XXX.XXX.152.96”遠(yuǎn)程主機(jī)進(jìn)行通訊，并向其發(fā)送3701個(gè)字節(jié)數(shù)據(jù)。

據(jù)此，可以清晰的看到該惡意程序的活動特點(diǎn)，先使用障眼法以打開注冊機(jī)的名義，將正常的注冊機(jī)程序設(shè)置為隱藏狀態(tài)，之后誘使用戶運(yùn)行假冒的注冊機(jī)程序，在調(diào)出正常注冊機(jī)的背后，假冒程序釋放出“svchost.exe”程序，并將其放置到啟動項(xiàng)中，同時(shí)激活該惡意程序。通過修改EXE文件關(guān)聯(lián)，將“svchost.exe”程序和EXE程序之間建立聯(lián)系，只要運(yùn)行任意EXE程序，就會激活該“svchost.exe”程 序?！皊vchost.exe”程序運(yùn)行后，會修改注冊表中和文件顯示相關(guān)的項(xiàng)目，將“顯示所有文件和文件夾”等項(xiàng)目隱藏起來，增加用戶搜索可疑文件的難度。如果用戶安裝有個(gè)人防火墻軟件，“svchost.exe”程序就會對其進(jìn)行終止和卸載操作，目的就是不讓用戶借助防火墻來觀察其非法網(wǎng)絡(luò)連接和通訊操作，估計(jì)在該惡意程序中已經(jīng)內(nèi)置了針對常用個(gè)人防火墻的破壞方式。

但是，當(dāng)您使用殺軟掃描硬盤，試圖清除這些不法分子時(shí)，卻沒有發(fā)現(xiàn)什么線索。其原因在于這些惡意程序本身不是病毒，倒是和惡作劇之類的惡意程序有些相似，本身沒有太大的破壞力。不是病毒，木馬，蠕蟲等顯眼的不法分子，自然不在殺軟的清除之列。該惡意程序雖然自身帶有某些木馬的特點(diǎn)，但是并沒有危害到系統(tǒng)和數(shù)據(jù)的安全，清除的方法也不復(fù)雜，依照清除與之關(guān)聯(lián)的啟動項(xiàng)，修復(fù)EXE文件關(guān)聯(lián)，恢復(fù)注冊表中和文件隱藏相關(guān)的內(nèi)容，刪除“svchost.exe”程序，重裝被其卸載的個(gè)人防火墻軟件就解決問題了。當(dāng)清除了上述惡意程序，恢復(fù)系統(tǒng)正常運(yùn)行狀態(tài)后。筆者引發(fā)了一番思考，看來，僅僅依靠殺軟來保護(hù)系統(tǒng)安全是不夠的，對于一些帶有惡作劇性質(zhì)的惡意程序，往往不在殺軟的防御之列。這就要求我們提高防范意識，不斷學(xué)習(xí)和積累安全防御知識，能夠從一些不起眼的痕跡中發(fā)現(xiàn)惡意程序的存在，并分析其特點(diǎn)，找到清除的方法，進(jìn)而將其從系統(tǒng)中驅(qū)逐出去。