杀毒36计：病毒分析、清除、善后技巧

　　网络大赛开始之际，抛砖引玉。网络虽然是个大世界，病毒也层出不群，对于病毒杀法虽然不同，但防守的法则却是大同小异，本文通过对一个病毒的深入剖解，引出了计算机的攻防兼备之法，以期加强安全性。

　　病毒测试

　　名称： Backdoor.Win32.Hupigon.ani

　　类型： 木马

　　文件长度： 333,024 字节

　　感染系统： Windows98以上版本

　　病毒描述

　　该病毒属于远程控制木马，当病毒感染计算机后，首先会在目录%temp%下生存kendy.exe、baixue.exe两个文件。当kendy.exe运行后会将自身复制到%Program Files%\_rejoice819.exe，%Program Files%\Common Files\Microsoft Shared\MSInfo\rejoice819.exe下，然后通过注册表创建服务，并通过创建iexplore.exe进程通过连接域名转向IP地址，等待病毒作者发送控制指令。

　　注册表行为

　　该病毒一旦进行上述行为成功后，将会进军注册表，行为如下：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]

　　注册表值： "Description"

　　类型： REG_SZ"

　　值：字串："上兴远程控制服务端"

　　描述： 病毒服务描述

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]

　　注册表值： "DisplayName"

　　类型： REG_SZ

　　值：字符串： "Windows_rejoice2008_819"

　　描述： 病毒服务名

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]

　　注册表值： "ImagePath"

　　类型： REG_SZ

　　值：字符串： "C:\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice819.exe."

　　描述： 服务映像文件的启动路径

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]

　　注册表值： "Start"

　　类型： REG_SZ

　　值： "DWORD: 2 (0x2)"

　　描述： 服务的启动方式，手动

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows_rejoice2008_819]

　　注册表值： "Type"

　　类型： REG_SZ

　　值： "DWORD: 272 (0x110)"

　　描述： 服务类型

　　注册表行为完成后，病毒将深入计算机系统中，而远程控制者将会通过域名指向发送需求指令控制电脑。

　　清除方案

　　中了此毒清除方法也很简单，只须按下列操作即可将此病毒赶出系统之外，方法如下： 删除%Documents and Settings%\a\Local Settings\Temp下的BaiXue.exe程序文件，%Program Files%\Common Files\Microsoft Shared\MSInfo目录下的rejoice819.exe文件和 %Program Files%目录下的_rejoice819.exe 文件，然后删除注册表项[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的注册表值: "Windows_rejoice2008_819" 及其下的所有键值，即可。

　　防范方法：病毒一直让网民深恶痛决，一旦中招，有时连杀软都无能为力，那么此时普通网民只能依靠重装计算机，或对其进行GHOST还原系统来重新使用无毒环境，那么如何才能做好病毒前的预防来加固系统呢?不要急，只要安装下面提供的[dos下关闭木马后门病毒