识破病毒伎俩

当您从网上下载了一个软件，但是对其安全性有所怀疑时，在运行该程序之前，为了安全起见，最好在虚拟机中对其进行分析测试。在虚拟机中启动Total Uninstall这款工具，在其主界面工具栏依次点击“已监控程序”和“安装”按钮，点击“下一步”按钮，Total Uninstall开始拍摄系统当前快照，之后在“程序名称”栏中输入目标程序名称，例如“病毒检测”，选择需要检测的可疑程序，点击“启动安装程序”按钮，激活该可疑程序。如果是病毒或者木马程序的话，往往会发现其不像正常软件一样出现安装界面，而是几乎没有任何反应，这就说明该恶意程序已经悄然运行了。

图1 在Total Uninstall查看监控信息

之后点击“程序已安装”按钮，Total Uninstall再次拍摄系统快照。在Total Uninstall主界面（如图1所示）中的“已监控”栏中选择“病毒检测”项，在窗口右侧打开“文件系统”节点，看到该病毒在“C:Program FilesCommon FilesMicrosoft SharedMSInfo”文件夹中生成了一个记录文件、一个病毒主文件。在“C:Windows”中创建了名为“reserver.exe”的程序，之后在“C:WindowSystem32”文件夹中生成了名为“_rejoince.exe”的隐藏文件，而且病毒很快就删除了“C:Windows”中“reserver.exe”文件来隐蔽自身行踪。在“注册表”栏中看到该病毒将自身伪装成了名为“系统媒体服务”的服务，并指向上述路径中的病毒程序。清除病毒的方法是重启电脑进入安全模式，根据以上线索将病毒文件全部删除，在注册表编辑器中打开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”分支，删除其下的“Windows Media Service”子键，该病毒就彻底失去了活力。