專家談反擊AV終結者病毒的“麻雀戰法”

　　AV終結者鬧了一個多月了，很多朋友已經知道金山的AV終結者專殺可以恢復殺毒軟件的功能，再升級殺毒軟件就能解決很多問題。不管網民是不是毒霸的用戶，毒霸的程序能為網民解決問題，是我們最高興的事情了。 　　現在我們觀察到一個新的動向：AV終結者病毒的數量更新很快，但又各具個性，一種病毒，也不去大面積的入侵很多機器，而是在小范圍傳播。但因為這些種群很多，總體來講，還是給網民帶來很大的麻煩。也給殺毒軟件廠商帶來挑戰——收集AV終結者全部樣本變得更加困難。 　　另一個動向：AV終結者病毒實際上是個木馬下載器，既然是下載器，可以下載木馬，同樣可以用來更新自身。我們發現，AV終結者病毒更新的速度很快，一旦作者發現程序自身或下載的木馬可以被殺毒軟件查到，就會發布更新的程序。而殺毒廠商的數量是遠少於病毒工作室的；寫病毒的人，遠多於寫殺毒軟件的人；同樣，傳播病毒的人，也遠比賣殺毒軟件的人多。 　　這種戰法，太象抗戰中八路軍的“麻雀戰”了——到處是小規模的戰斗，現在病毒傳播者用這一招來對抗殺毒軟件。 　　我們如何反擊呢？ 　　一個更完善的樣本收集系統非常重要，我們的清理專家2.0就集成了樣本收集的功能，網民只需要把未知加載項提交，就完成了樣本上報的過程。 　　網民怎麼對付？因為總會有網民會被漏網的病毒擊中。 　　殺毒的方法，我們已經討論了很多了，專殺工具恢復殺毒軟件的功能，，再使用殺毒軟件把病毒解決掉。對於新病毒，按照自動分析系統的提示，刪除掉。網民需要更關注殺毒軟件的升級。 　　因為這類病毒自身是靠激活自動播放功能傳播的，很多網友遇到搞不定的病毒，就重裝，操作習慣也不太好，總是一次次雙擊圖標找到目標程序或文檔。這樣就會感覺到——天啦，這是什麼病毒，格式化都搞不定，難道要我低格硬盤。
　　我們應該從阻止自動播放入手控制病毒的傳播。自動播放也是有兩個情況，一是配置各磁盤或移動硬盤、存儲卡、U盤根目錄下的autorun.inf；另一種是修改注冊表鍵。我們用不同的方法來處理。 　　第一，我們說的最多的，最簡單易用。使用組策略編輯器，禁止自動播放。 　　步驟為：運行gpedit.msc，打開組策略編輯器，浏覽到計算機配置→管理模板→系統，雙擊禁用自動播放，選擇所有驅動器，確定後重啟電腦。 　　此方法不適合Winxp Hom版，原因是比爾大叔太摳門了，在XP HOME版中把組策略編輯器扣留了。這時，可以使用金山毒霸來解決。步驟：雙擊右下角紅色盾牌，點擊工具菜單→綜合設置→其它設置，選中“禁止硬盤或U盤自動運行功能”，確定後重啟。WINXP的兩個版本，都可以使用這個方法，建議所有毒霸的用戶采用。 　　以上操作，可以讓本地磁盤、U盤、移動硬盤、存儲卡上autorun.inf配置完全無效。強烈建議所有新裝操作系統的用戶，立即禁止自動播放功能，然後再訪問其它分區或移動存儲設備。 　　第二，部分病毒直接修改了注冊表，使上述操作也無法解決，你需要手動修改注冊表的相應鍵來修復 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 　　這裡定義了右鍵菜單，把與病毒程序引用相關的子鍵刪除。 　　HKEY_CLASSES_ROOT\Drive\shell 　　把與病毒相關的注冊鍵刪除。 　　也可以根據上面這兩個鍵中引用的病毒文件路徑，找到這些病毒程序，將其提交給殺毒軟件廠商。