查杀耗CPU资源的Explored病毒

英国首相戈登•布朗(GordonBrown)周三表示，正同美国政府签署相应协议，以保证英国“最危险军事黑客”加里•麦金农(GaryMcKinnon)引渡美国受审并被判有罪后，将能够回到英国服刑。这也是布朗就麦金农引渡事件首次公开发表谈话。

 麦金农今年42岁。美国军方称，2001年到2002年期间，麦金农涉嫌入侵美国军方和美国国家航空航天局(NASA)计算机网络，致使美国军方蒙受了将近100万美元的经济损失。美国军方认为，此事为迄今为止全球最严重的军用计算机入侵事件。麦金农于2002年被英国政府逮捕，此后美国政府一直要求把麦金农引渡到美国受审。

 今年7月底，英国上议院高等法院驳回了麦金农上诉请求，称麦金农必须被引渡到美国受审。麦金农随后向欧洲人权法院上诉，反对英国把自己“出卖”给美国。但欧洲人权法院今年8月底驳回了麦金农上诉申请。本月初，英国20名国会议员签署了一项早期提案，称如果美国法院认定麦金农有罪，英国政府应依照国际惯例，要求美国政府把麦金农遣返到英国服刑。

 布朗周三在接受英国下议院议员的提问时表示，英国正同美国政府依据欧洲理事会(CouncilofEurope)制定的《欧洲人权公约》签署相关协议，以确保患有心理疾病的英国犯罪者在美国受审后如被判定有罪，将被遣返到英国服刑。布朗在回答议员的提问时，并没有直接提到麦金农的姓名。

 麦金农今年9月被诊断患有亚斯伯格综合症。该病症是自闭症的一种，主要症状是患者没有任何智力障碍，但社会交际能力很差，且对特定事物异常痴迷和执着。这也部分解释了麦金农为何会持之以恒地攻破美国军方计算机网络。

 美国检察部门此前表示，如果麦金农愿意认罪，他们将建议法院把麦金农的监禁时间缩短到4年首先是病毒的发现。昨天出现了两个症状，一是在局域网上出现广播包(ARP)暴增，甚至把出口堵死；二是机器CPU资源耗尽。用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100％（后来才知道，这是因为该病毒是通过服务启动的），该进程无法停止，注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中有该项存在，即使将该项删除，重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目录下，未中毒机器没有该文件。因此可基本确认该进程是病毒。

　　然后是病毒的查杀。这过程中出现两个问题，一是瑞星开始无法升级，这是因为病毒本身把出口堵塞，TCP流无法正常传输。我们尝试了一下，发现可以用防火墙（例如天网）将病毒程序隔离，然后再连网进行升级。第二个问题是瑞星查毒过程缓慢（查毒前已经将网卡先禁用了），这是因为病毒程序 explored占用CPU太狠，在无法设置删除该进程的情况下，可以用任务管理器提高瑞星进程的优先级（比如实时），这样瑞星从病毒手中抢过CPU资源来正常地运行。不过，这次瑞星只查杀了伪装成svchost.exe的蠕虫病毒，explored仍然存在。

　　我们无可奈何下只好采用很笨的方法删除explored，就是进入安全模式，到Windows的System32目录下直接把该文件删除掉。顺便也把注册表中启动运行那项也删掉了。重启后，提示有服务出错，到管理工具下的“服务”一看，才终于发现了该病毒的真实面目：原来“服务”里面有一栏 “Windows Login”，属性显示服务名称是“MpR”，可执行文件路径正是“C:WINNTSYSTEM32explored.exe -services”。这就说明了为什么进程中止不了，删掉注册表中系统启动项也没用。也就是说，当初应该到服务里将该服务停止，而不是在任务管理器试图将其删除。

　　最后就病毒查杀的心得作一点小结：上述病毒发作都有一定迹象，例如CPU占满，网络带宽占满（可以通过网络连接状态看，如果后台没有运行什么进程，网络接口上收/发包数激增，就很可能是中毒或是连接的网络上有机器中毒），因为平时要保持警惕，发现异常就赶紧查毒。最好是用查毒软件，用任务管理器有时被骗，现在的病毒起名往往跟系统程序相似甚至相同，例如explored, smsss(smss是系统程序)，svchost等等。最好知道真正的系统程序所在目录，例如系统svchost.exe应该在system32下，而病毒可能藏在system32drivers下。病毒的自启动可能通过很多途径：注册表，INI文件，甚至——象explored这样——通过服务启动。

　　与其中了毒再查再杀，不如切实做好防护措施——补丁，病毒保护，防火墙，一个都不能少啊！　但如果麦金农拒不认罪，将要求法院对他判处长达70年的监禁。