筆者直接打開(kāi)該優(yōu)盤(pán)，在其中很快找到了名為“polycing.exe”的處于隱藏狀態(tài)的可疑程序，在其右鍵菜單上點(diǎn)擊“掃描病毒”項(xiàng)，執(zhí)行手工檢測(cè)操作，可是該殺毒軟件卻顯示沒(méi)有發(fā)現(xiàn)病毒文件?？磥?lái)，該殺毒軟件的功力不夠，于是將其卸載換裝了另外一款口碑不錯(cuò)的殺毒軟件，對(duì)該優(yōu)盤(pán)進(jìn)行查殺，仍然沒(méi)有發(fā)現(xiàn)病毒信息。由此得出結(jié)論，該病毒不是經(jīng)過(guò)加殼處理，就是經(jīng)過(guò)特殊的免殺處理，讓殺毒軟件無(wú)法準(zhǔn)確判斷其身份?？咳瞬蝗缈考?，筆者決定手工將其清除。

筆者在虛擬機(jī)中運(yùn)行了該程序，觀察其行為特點(diǎn)，發(fā)現(xiàn)中毒后系統(tǒng)每隔一段時(shí)間硬盤(pán)就會(huì)出現(xiàn)一個(gè)使用高峰，硬盤(pán)燈頻繁閃爍，CPU占用率居高不下，似乎有程序長(zhǎng)時(shí)間讀取硬盤(pán)數(shù)據(jù)，而且殺毒軟件無(wú)法正常運(yùn)作，實(shí)時(shí)監(jiān)控模塊無(wú)法正常打開(kāi)。運(yùn)行XueTr這款安全工具，在進(jìn)程列表中除了發(fā)現(xiàn)很明顯的病毒進(jìn)程外，還發(fā)現(xiàn)一個(gè)名為“polycing.exe”隱藏進(jìn)程，看來(lái)病毒將自身隱藏起來(lái)了。

當(dāng)開(kāi)機(jī)后，系統(tǒng)會(huì)顯示無(wú)法查看某文件的錯(cuò)誤信息，當(dāng)連入優(yōu)盤(pán)、移動(dòng)硬盤(pán)等設(shè)備后，雙擊移動(dòng)存儲(chǔ)設(shè)備盤(pán)符后，系統(tǒng)運(yùn)行速度明顯變慢。在其根目錄下會(huì)出現(xiàn)幾個(gè)來(lái)歷不明的文件，即使手工將其刪除，但是不久之后這些可疑文件又會(huì)自動(dòng)出現(xiàn)，而且無(wú)法按照正常方式移除USB設(shè)備，只有手工將其強(qiáng)制拔出。要想清除病毒文件，需要了解其對(duì)系統(tǒng)做了哪些手腳。

使用SREng、瑞星聽(tīng)診器等工具，可以對(duì)系統(tǒng)進(jìn)行智能掃描并創(chuàng)建安全報(bào)告，對(duì)其進(jìn)行分析，就可以讓病毒露出馬腳。這里以瑞星聽(tīng)診器為例進(jìn)行說(shuō)明，在其主界面中點(diǎn)擊“開(kāi)始掃描”按鈕，該工具可以對(duì)系統(tǒng)方方面面進(jìn)行安全檢測(cè)。當(dāng)掃描完畢后，會(huì)在統(tǒng)一目錄下生成名為“瑞星聽(tīng)診信息.htm”的報(bào)告文件。將其打開(kāi)后，在“未知家族病毒分析”欄中顯示檢測(cè)到的未知病毒信息，在“系統(tǒng)活動(dòng)進(jìn)程”欄中顯示當(dāng)前的所有進(jìn)程信息，而且針對(duì)每一個(gè)進(jìn)程列出其加載的DLL模塊信息。在“普通自啟動(dòng)項(xiàng)”欄中顯示包含在注冊(cè)表中啟動(dòng)項(xiàng)信息。

在“AppInit_DLLs”欄中顯示加載的初始化動(dòng)態(tài)鏈接庫(kù)信息，在“系統(tǒng)文件關(guān)聯(lián)”欄中顯示常用文件類(lèi)型的關(guān)聯(lián)信息，在“其它啟動(dòng)項(xiàng)”欄中顯示比較隱蔽的啟動(dòng)項(xiàng)信息，在“WinLogon啟動(dòng)項(xiàng)”欄中顯示和系統(tǒng)登錄有關(guān)的啟動(dòng)項(xiàng)。在“IE-BHO”欄中顯示IE的相關(guān)插件信息，在“Winsock SPI”欄中顯示和網(wǎng)絡(luò)底層配置相關(guān)的文件信息，在“系統(tǒng)服務(wù)項(xiàng)”欄中顯示全部系統(tǒng)服務(wù)信息，在“文件驅(qū)動(dòng)”和“系統(tǒng)驅(qū)動(dòng)項(xiàng)”欄顯示全部的驅(qū)動(dòng)文件信息。在默認(rèn)情況下，正常的檢測(cè)項(xiàng)目會(huì)以綠色進(jìn)行顯示，對(duì)于可疑的項(xiàng)目，會(huì)以亮白方式顯示。結(jié)合以上檢測(cè)報(bào)告，可以發(fā)現(xiàn)該病毒對(duì)系統(tǒng)所做的小動(dòng)作。在啟動(dòng)項(xiàng)中發(fā)現(xiàn)了很多的病毒木馬項(xiàng)目，主要用來(lái)執(zhí)行感染文件，盜取數(shù)據(jù)等非法操作。

由此可見(jiàn)，該病毒程序并不是單獨(dú)行動(dòng)，而是一個(gè)下載工具，當(dāng)其運(yùn)行后，會(huì)不定時(shí)的從網(wǎng)上下載大量的病毒木馬程序來(lái)對(duì)系統(tǒng)進(jìn)行滲透和破壞。而且在不同的虛擬機(jī)中進(jìn)行的測(cè)試表明，該病毒文件會(huì)隨機(jī)下載不同的病毒木馬文件，即每次發(fā)作時(shí)下載的不法程序不盡相同。運(yùn)行XueTR這款安全利器，在其主界面中打開(kāi)“服務(wù)”面板，在其中發(fā)現(xiàn)一個(gè)名為“netersvc”的服務(wù)非?？梢?，其顯示名稱(chēng)為“Network Error Repair”，從表面上看似乎用來(lái)修復(fù)網(wǎng)絡(luò)錯(cuò)誤，其實(shí)這是病毒的一個(gè)幌子，其真實(shí)用途是在系統(tǒng)啟動(dòng)時(shí)自動(dòng)激活病毒程序。另外一個(gè)名為“601D51FA”的服務(wù)看上去就極為可疑，可以斷定是配合上述病毒服務(wù)活動(dòng)的。根據(jù)啟動(dòng)項(xiàng)中提供的信息，在各磁盤(pán)的根目錄下發(fā)現(xiàn)了病毒創(chuàng)建的“Autorun.inf”文件，“polycing.exe”等文件，在“C:Windows”文件夾下發(fā)現(xiàn)了名為“avpsrv.e x e”、“c m d b c s.e x e”、“mppds.exe”、“msccrt.exe”、“upxdnd.exe”、“kvsc3.exe”、“winform.exe”、“cnzz.exe”等病毒文件，而且在“C:WindowsSystem32”目錄中會(huì)發(fā)現(xiàn)了與這些文件名稱(chēng)相同的DLL文件。在“C:WindowsSystem32”目 錄 下 發(fā) 現(xiàn) 了“mh100”、“mh100.dll”、“nwizasktao.exe”、“nwizasktao.dll”、“nwizhx2.exe”、“nwizhx2.dll”、“nwizqjsj.exe”、“nwizqjsj.dll”等病毒文件，在“C:Windowssyswm7”目錄中發(fā)現(xiàn)名為“ghook.dll”、“svchost.exe”等 病 毒文件，點(diǎn)擊“Win+R”鍵，輸入“%temp%”，回車(chē)打開(kāi)臨時(shí)文件夾窗口，在其中發(fā)現(xiàn)名為“c0nime.exe”、“gjzo0.dll”、“upxdnd.exe”、“upxdnd.dll”等病毒文件。這些病毒文件幾乎都處于隱藏狀態(tài)，其中一部分是病毒自身產(chǎn)生的文件，一部分是病毒下載的惡意程序。所以需要先在文件夾選項(xiàng)窗口中選擇“顯示所有文件和文件夾”項(xiàng)，不選擇“隱藏受系統(tǒng)保護(hù)的文件”項(xiàng)，才可以將其顯示出來(lái)。

經(jīng)過(guò)分析，發(fā)現(xiàn)病毒會(huì)將下載的惡意程序先放到IE臨時(shí)文件夾中，然后才會(huì)執(zhí)行或者釋放病毒木馬文件，其創(chuàng)建病毒文件的方式有些特殊，先在“C:Windows”目 錄 下生成病毒程序，然后在“C:WindowsSystem32”目錄中創(chuàng)建與之同名的DLL文件。當(dāng)病毒EXE程序激活后，會(huì)將與之同名的DLL文件插入到“explorer.exe”進(jìn)程中，之后自動(dòng)終止該病毒EXE程 序，潛 伏 在“explorer.exe”中的病毒DLL模塊就可以執(zhí)行盜取數(shù)據(jù)，破壞正常文件等操作。

為了防止用戶清理病毒，病毒不僅會(huì)在各磁盤(pán)根目錄下 創(chuàng) 建“Autorun.inf”文件和病毒程序，讓用戶在雙擊磁盤(pán)時(shí)自動(dòng)激活病毒外，還會(huì)在“C:Windows”和“C:WindowsSystem32”目錄中創(chuàng)建“5abeb2609.exe”、“5abeb2609.dll”、“k0115114194.exe” 等 文件，用來(lái)創(chuàng)建上述病毒服務(wù)，當(dāng)開(kāi)機(jī)后病毒服務(wù)就會(huì)搶險(xiǎn)加載運(yùn)行，將病毒DLL模塊插入到系統(tǒng)進(jìn)程中，對(duì)病毒的活動(dòng)進(jìn)行全程保護(hù)。

注意：在不同的電腦上運(yùn)行時(shí)，病毒創(chuàng)建的上述文件的名稱(chēng)可能會(huì)隨機(jī)產(chǎn)生來(lái)逃避用戶的檢查。

了解了病毒的行為特點(diǎn)后，接下來(lái)就可以手工將其清除。為了便于觀察病毒活動(dòng)，運(yùn)行了FileMon這款小巧強(qiáng)悍的監(jiān)控程序，可以全面實(shí)時(shí)記錄不同進(jìn)程針對(duì)文件進(jìn)行的添加、修改、刪除等動(dòng)作，用來(lái)監(jiān)視病毒活動(dòng)很有效。

在XueTr主界面中的“本工具配置”面板中勾選“禁止創(chuàng)建進(jìn)程”和“禁止創(chuàng)建線程”項(xiàng)，禁止病毒啟動(dòng)非法進(jìn)程。之后在“進(jìn)程”面板中強(qiáng)制關(guān)閉所有非系統(tǒng)進(jìn)程，包括“explorer.exe”進(jìn)程，只留下系統(tǒng)基本進(jìn)程，讓系統(tǒng)可以正常運(yùn)作。利用XueTr內(nèi)置的注冊(cè)表管理器，將注冊(cè)表中和病毒相關(guān)的啟動(dòng)項(xiàng)逐一刪除，經(jīng)檢測(cè)后發(fā)現(xiàn)病毒沒(méi)有自動(dòng)恢復(fù)刪除的啟動(dòng)項(xiàng)，但是在XueTr中的服務(wù)列表中禁止病毒服務(wù)后，發(fā)現(xiàn)病毒服務(wù)又自動(dòng)啟動(dòng)了?？磥?lái)，一定有病毒程序在按照對(duì)其進(jìn)行保護(hù)。

當(dāng)使用XueTr自帶的文件管理器刪除上述病毒文件時(shí)，根據(jù)Filemon提供的監(jiān)控信息，發(fā)現(xiàn)當(dāng)刪除各磁盤(pán)根目錄下中的“Autorun.inf”和其它病毒文件后，這樣文件又奇怪的自動(dòng)恢復(fù)了，經(jīng)過(guò)查看原來(lái)是“winlogon.exe”在暗中起作用，該進(jìn)程不僅可以恢復(fù)病毒文件，而且可以自動(dòng)執(zhí)行病毒文件。在進(jìn)程列表的右鍵菜單中點(diǎn)擊“在下方顯示模塊窗口”項(xiàng)，在“Winlogon.exe”進(jìn)程中果然發(fā)現(xiàn)病毒創(chuàng)建的DLL模塊，其名稱(chēng)為隨機(jī)產(chǎn)生的，這樣即使在XueTr中將病毒文件刪除，看起來(lái)似乎一切順利，其實(shí)病毒暗中的保護(hù)機(jī)制會(huì)悄無(wú)聲息地重新激活病毒文件，并從網(wǎng)上下載更多的惡意程序。

根據(jù)以上分析，我們大體掌握了該病毒的運(yùn)行原理，當(dāng)該病毒運(yùn)行后，會(huì)先建立一個(gè)隱藏的病毒進(jìn)程，之后創(chuàng)建病毒服務(wù)，并將病毒DLL模塊插入到合法的系統(tǒng)進(jìn)程中，對(duì)病毒的活動(dòng)進(jìn)行保護(hù)。當(dāng)發(fā)現(xiàn)本機(jī)連上Internet后，病毒進(jìn)程會(huì)每隔一段時(shí)間下載一個(gè)病毒木馬程序，之后將其激活并運(yùn)行。因?yàn)橄螺d完所有的惡意程序需要一段時(shí)間，所以如果不仔細(xì)觀察的話很容易被其蒙蔽，因?yàn)椴《鞠螺d的幾乎都是DLL文件，當(dāng)其運(yùn)行后會(huì)在“C:Windows”和“C:WindowsSystem32”目錄中創(chuàng)建同名的EXE文件和DLL文件，之后將原始的病毒DLL文件自刪除。當(dāng)所有的病毒木馬全部系在完成并運(yùn)行后，系統(tǒng)運(yùn)行速度就會(huì)大受影響。病毒在徹底侵入系統(tǒng)后，會(huì)隨機(jī)創(chuàng)建一個(gè)DLL文件，將其插入到“winlogon.exe”進(jìn)程中，作用是潛伏在暗處對(duì)病毒的活動(dòng)進(jìn)行保護(hù)。因此，雖然在系統(tǒng)文件夾中出現(xiàn)了一大堆病毒文件，無(wú)法進(jìn)行徹底的隱藏，難免會(huì)被用戶發(fā)現(xiàn)。不過(guò)由于病毒存在保護(hù)機(jī)制，即使將病毒文件刪除，其保護(hù)機(jī)制照樣可以重新激活病毒，所以手工清除比較困難。

通過(guò)對(duì)病毒保護(hù)機(jī)制的分析可以看出，病毒是通過(guò)非法服務(wù)向“winlogon.exe”進(jìn)程中注入病毒DLL模塊，通過(guò)該模塊，對(duì)各磁盤(pán)根目錄下的病毒文件進(jìn)行保護(hù)。保護(hù)的手法是每隔一定時(shí)間就會(huì)檢測(cè)病毒文件是否存在，如果不存在的話就會(huì)自動(dòng)重建病毒文件，并為其設(shè)置系統(tǒng)和隱藏屬性，并將病毒服務(wù)設(shè)置為自動(dòng)運(yùn)行狀態(tài)，讓病毒服務(wù)可以順利運(yùn)作。

當(dāng)然，病毒采取了創(chuàng)建隱形進(jìn)程，讓用戶無(wú)法在任務(wù)管理器中發(fā)現(xiàn)其蹤跡。以上種種保護(hù)手段，目的就是讓用戶無(wú)法順利的將病毒清除出去。

洞悉了病毒的特點(diǎn)，清除起來(lái)就相對(duì)容易了，最簡(jiǎn)單的方法是進(jìn)入安全模式，在其中使用XueTr等工具，關(guān)閉病毒服務(wù)，并在注冊(cè)表中刪除與該服務(wù)相關(guān)的信息，將病毒文件全部刪除，或者進(jìn)入WinPE模式，將全部的病毒文件全部清除，也可以在正常模式下清理這些可惡的病毒，方法是在桌面上建立名為“autorun.inf”的文件夾，之后將各磁盤(pán)根目錄下的“autorun.inf”文件刪除，并將該文件夾粘貼到各磁盤(pán)根目錄下，并為“Autorun.inf”文件夾設(shè)置隱藏只讀屬性。

同理，創(chuàng)建名為“polycing.exe”的文件夾，將其各磁盤(pán)根目錄下的“polycing.exe”病毒文件刪除，并將“polycing.exe”的文件夾粘貼到各磁盤(pán)根目錄下，并為之設(shè)置隱藏只讀屬性。按照同樣的方法，將各磁盤(pán)根目錄下的所有的病毒文件均進(jìn)行刪除，并創(chuàng)建與之同名的文件夾。這樣，隱藏在“winlogon.exe”進(jìn)程中的病毒模塊就無(wú)法恢復(fù)病毒文件了。

在XueTr中選擇“禁止創(chuàng)建進(jìn)程”和“禁止創(chuàng)建線程”項(xiàng)。這樣當(dāng)關(guān)閉病毒進(jìn)程后，即不怕病毒進(jìn)程自動(dòng)激活了。在XueTr的進(jìn)程列表中關(guān)閉所有非系統(tǒng)進(jìn)程，包括病毒創(chuàng)建的隱身進(jìn)程，之后在XueTr中刪除所有的病毒文件，卸載和刪除插入到系統(tǒng)進(jìn)程中的 DLL模塊文件，清除和病毒有關(guān)的注冊(cè)表項(xiàng)目，禁用病毒服務(wù)。建議按下機(jī)箱的關(guān)機(jī)按鈕，再重啟電腦，利用冷啟動(dòng)操作來(lái)徹底讓病毒失去活力。也可以在XueTr的設(shè)置窗口中選擇“強(qiáng)制重啟”項(xiàng)，來(lái)安全的重啟系統(tǒng)。

對(duì)于上述病毒服務(wù)，可以在XueTr的“服務(wù)”面板中點(diǎn)擊“刪除”按鈕將其清除。也可以可以請(qǐng)出System Repair Engineer這款安全工具來(lái)清除，在其主界面左側(cè)點(diǎn)擊“啟動(dòng)項(xiàng)目”項(xiàng)，在右側(cè)的“服務(wù)”面板中點(diǎn)擊“Win 32服務(wù)應(yīng)用程序”按鈕，在服務(wù)列表中選擇病毒服務(wù)，選擇“刪除服務(wù)”項(xiàng)的，點(diǎn)擊“設(shè)置”按鈕，就可以讓病毒服務(wù)徹底消失。當(dāng)清除了病毒文件后，重新進(jìn)入系統(tǒng)，取消可移動(dòng)設(shè)備的自動(dòng)播放功能，之后將染毒優(yōu)盤(pán)上的病毒文件全部清除。因?yàn)椴《疽呀?jīng)將安裝的某殺毒軟件破壞，導(dǎo)致其無(wú)法正常運(yùn)行，所以將該殺毒軟件卸載后重新安裝，即可恢復(fù)其活力。