如何清除“禽兽”病毒

最近江湖上出现了一批作案后大胆留言的病毒，中了我们的网民，最显著的特征是在系统的文件夹选项中，隐藏文件和文件夹处被替换成我们的个人留言。我—— “ 禽兽” 病毒，就是它们的带头大哥，我的个人留言是：“ 禽兽尚且有半点怜悯之心，而我一点没有，所以我不是禽兽” （图1 ）。

图1
“ 禽兽” 病毒采用的技术和AV 终结者差不多，但比它更狠、更毒，一次性从网络上下载二十多种木马病毒，严重威胁用户的各种账号和密码的安全。想知道如何判断中了这类病毒以及如何预防清除吗？请看下文。

首先，上网后我们会发现浏览器自动打开百度的首页，打开浏览器设置可以看到主页已经被修改为“ www.baidu.com ” 。将它又改为空白页，结果依然还是会打开百度首页。
接着，打开系统的任务管理器查看一下进程有问题没有，结果是该功能已经被屏蔽了—— 命令变成了灰色的而无法使用（图2 ）。这时就应该明白自己已经中毒了。

图2
再打开系统的“ 文件夹选项” ，想展开系统中所有的隐藏文件。在这里可以发现其中的隐藏文件功能已经被窜改了，并且同时加上了病毒作者的留言。于是我们知道了该病毒就是最近名声大噪的“ 禽兽” 病毒。然后，通过《 冰刃》 检测发现病毒自动创建进程crsss.exe ，它与系统服务进程csrss.exe 很相似。在系统目录中产生大量的DLL 和EXE 后缀的病毒文件，同时在任何的移动存储设备以及硬盘分区目录下，生成病毒文件AutoRun.inf 和niu.exe （图3 ）。这样当我们双击这些磁盘设备的时候，通过AutoRun.inf 文件就会激活病毒并运行。

图3
除了进行这些系统破坏外，通过《 冰刃》 的注册表功能还能发现，病毒修改了注册表进行了映像劫持，使众多安全软件不能正常使用（安全模式也进不去）。一旦发现有这些安全工具的进程名称，就会马上结束其进程。并且当用户在浏览器输入与“ 安全” 或“ 病毒” 相关的网站，病毒也会毫不留情地将浏览器关闭。
最后，对病毒代码分析，发现病毒运行成功后就会自动下载各种木马程序，从而记录用户输入的账号密码信息。除此以外，病毒还借鉴了流氓软件的特点，这样用户一打开浏览器就会马上弹出广告。另外病毒还会通过一个固定的网络地址统计被感染的计算机系统。这也是“ 禽兽” 病毒的重要特征之一。
“ 禽兽” 病毒的预防和清除
方法1 ：由于“ 禽兽病毒” 依然采用了移动设备，以及网络下载等方式进行传播，因此再次提醒各位读者朋友，尽快禁用Windows 系统中的自动播放功能，防止病毒通过移动设备进行快速的传播。
运行安全工具USBKiller （下载地址：
http://www.cpcw.com/bzsoft ），点击“ 免疫U 盘” 按钮，接着选择“ 禁止自动运行功能” ，并且选中“ 免疫磁盘” 选项就可以了。这样既可以防止磁盘的自动运行，又可以对指定的磁盘信息进行免疫（图4 ）。

图4
方法2 ：“ 禽兽” 病毒还可以利用网页进行传播，而利用网页最好的方式就是通过系统漏洞。因此用户可以利用系统的Windows Update 功能修复补丁，也可以利用一些安全工具，对系统安全性进行彻底的检测并修复漏洞。
方法3 ：各位读者一定要提高自己的安全意识，不要随意接收从聊天工具发送过来的文件，也不要登录来历不明的网址链接。及时更新自己的杀毒软件病毒库，从而有效防止遭受到各类恶意程序的侵害。
方法4 ：如果已经中了病毒，可以下载《 AV 终结者专杀》 （下载地址：http://www.cpcw.com/bzsoft ）, 然后运行该专杀工具修复被破坏的安全模式和解除映像劫持，这时就可以使用杀毒软件了，马上将病毒库升级到最新版本，最后查杀一遍扫清病毒残留物。
编辑观点：彰显个性的病毒将会越来越多
“ 禽兽病毒” 由于其鲜明的性格以及极大的破坏性，让人们越来越感到互联网安全的脆弱。现在越来越多的病毒作者在编写病毒时，贴上了自己的个性标签。从中我们可以看出，病毒作者们把自己的生活用语、琐事等强加给广大网民，这种行为是多么的流氓！