蠕虫：病毒家族里古老又年轻的一员（2）

病毒的发现：众里寻它千百度

　　当我们了解了蠕虫病毒后，就会有一个很自然的问题，就是到底如何发现这些隐藏的蠕虫呢？有人说：“用杀毒软件呗！”是的，这的确是一个即方便又快捷的办法，但是有一点就是，如果出现新的蠕虫时应该怎么办，由于杀毒软件本身是要先抓住病毒，然后进行分析，然后升级，之后才能对已知的病毒进行查杀。如果不幸的是，你中了世界上最新的蠕虫病毒，其它的杀毒软件都还未抓到该病毒的样本，这种样本上报的工作就落在了你的头上，你该怎么办？

　　其实，不管是任何事，只要发生了就会留下痕迹，蠕虫病毒也不例外，既然蠕虫病毒自己也是一种程序，既然蠕虫病毒会藏在你的系统中，既然蠕虫会监视你的系统，那么发现蠕虫就不会是一件不可能的事，我们大致可以从以下几个方面循序渐进地发现新的蠕虫病毒。

　　首先可以利用一些自动防护工具，如个人 防火墙 软件。个人防火墙软件有一个特点，就是它本身不用进行升级就能进行很好的网络防护，如今的个人防火墙软件都提供了应用程序保护的功能，比如瑞星个人防火墙2004版，应用程序保护的原理说起来很简单，就是防火墙先将网络访问给监控起来，一旦发现有应用程序访问网络就向用户报警，由用户决定是否放行。当用户安装了防火墙后，如果发现有不明的程序访问网络，而且该程序还处在系统目录下，则很有可能就是中了蠕虫病毒了。

　　其次，检查注册表。注册表是WINDOWS系列操作系统中最重要的一个数据库文件，它记录着系统的所有关键数据，而一些软件要想让系统记住它的话，也往往会在注册表中建立相应的注册内容，被称为注册表项，蠕虫病毒也不例外，所有的蠕虫病毒都有随系统启动而启动的动作，因此它们会修改注册表中叫做自启动项的注册表项，该项的具体位置是：HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft \Windows\CurrentVersion\Run，只要用户在“开始\运行”菜单中键入“regedit”即可打开注册表，然后根据上述提示找到自启动项，该项里存放的都是一些日常启动的程序，也就是存在于系统右下角那个托盘中的程序，比如杀毒软件的实时监控程序、防火墙程序等。不多，很容易记忆，如果用户有经常看注册表自启动项的习惯，如果发现有来自系统目录下的一些不明程序在自启项中写有自己的项，那么该项就极有可能是病毒所为，用户可以根据该注册表项提供的路径找到这个可疑文件，如果该文件没有什么图标，而且大小在十几K到几十K之间，则基本就可断定是蠕虫病毒了。

　　再次，查看内存中的可疑进程。所有的程序只要进入内存，都是以进程的形式存在的，在9X以上操作系统中，用户只要使用系统自带的“任务管理器”就可以查看内存中的所有进程，用户可以用CTRL+SHIFT+ESC三键直接调出任务管理器或右键单击开始电脑下方的程序栏，在右键菜单中进行选择，当任务管理器调出后，选择“进程”那一页，就可以看到系统内的所有进程了，比如说，我们使用的WORD软件，在内存中的进程是WINWORD.EXE、瑞星个人防火墙的进程是Rfw.exe，如此等等，如果用户经常查看内存的话，就会对一些常用进程了如指掌，这时如果有蠕虫进入内存的话，就会很容易被你发现，比如说这次的震荡波病毒在内存中建立的进程是avserve.exe。

病毒的手动清除：待从头收拾旧山河

　　当发现有蠕虫形迹时，就要想办法把它清除掉，如果手中有杀毒软件，则可以先升级再进行C盘查杀，找出蠕虫病毒，如果手中没有杀毒软件或者用户遇到了杀毒软件也无法查到的新病毒，就只能自力更生，进行手工清除了，不过，有了上面查找病毒的经验，清除就是一件相对容易的事了，这里，只要掌握病毒感染的四要素就能很好地清除病毒，这四要素是：漏洞、内存、注册表、文件。

　　下面就以“高波(Worm.Agobot)”病毒为例，来讲讲手动清除的过程。“高波”病毒是利用冲击波病毒的漏洞进行传播的，在去年十大病毒里排名第六，如今变种已经达到了几百个。当用户发现自己的电脑在上网时突然变得速度很慢，或者计算机自动重启动，则很有可能是中了该病毒，就应该采取措施了。

　　首先，给系统漏洞打补丁。由于蠕虫病毒大多数都是利用系统漏洞进行传播的，因此在清除蠕虫病毒之前最好是将蠕虫病毒利用的相关漏洞进行修补，否则，如果漏洞存在，即使病毒被清除后，在连网的情况下还会被蠕虫继续感染。

　　清除内存中的病毒进程。每个进入内存的蠕虫都会有一个唯一的进程，只要清除了该进程，就可以使蠕虫在这次失效，高波病毒也不例外。用户可以使用“任务管理器”在内存中查找名为“mdms.exe”的进程，然后直接将它结束。

　　删除注册表中的病毒项。该病毒为了每次能获得控制权会在注册表的自启动项HKCU\Software\Microsoft\Windows\CurrentVersion\Run中添加名为"Machine Debug Manager"="%SYSDIR%\mdms.exe"的病毒项，您只打开注册表，直接将该病毒项清除即可。

　　最后一步，删除病毒文件。通过注册表的病毒键值可以知道病毒就躲在WINDOWS安装目录下的SYSTEM32目录里，名字为：mdms.exe，用户只要按图索骥，找到该文件直接删除即可，有的时候，由于某种原因该文件会删除失败，这时应该进入安全模式，或者用A盘直接启动到DOS模式下进行删除。怎么样，简单吧？

总结

　　在以上的文章中，我们总结中了蠕虫病毒的感染的四要素：漏洞、内存、注册表、文件，任何一个蠕虫都会有这四个要素，只要用户了解了这些知识，以后再遇到蠕虫病毒时，就不会再害怕了，因为，病毒也是一种程序，最终会被我们完全控制。（完）