在諸多病毒類型里面最讓人深惡痛絕的就是Rootkit（內核型）蠕蟲病毒， 許多時候殺毒軟件能檢測到該病毒， 但卻無法有效清除。

此類病毒的特點是病毒文件為兩個或多個， 一個是擴展名為EXE的可執行類型文件， 一個是擴展名為SYS的驅動類型文件。 EXE可執行文件為傳統的蠕蟲病毒模塊， 負責病毒的生成、感染、傳播、破壞等任務；SYS文件為Rootkit模塊。

Rootkit也是一種木馬， 但它較我們常見的“冰河”、“灰鴿子”等木馬更加隱蔽， 它以驅動程序的方式掛入系統內核， 然后它負責執行建立秘密后門、替換系統正常文件、進程隱藏、監控網絡、記錄按鍵序列等功能， 部分Rootkit還能關閉殺毒軟件。

目前發現的此類模塊多為病毒提供隱藏的機制， 可見這兩類文件是相互依賴的。 既然病毒已經被隱藏了， 我們從何處入手發現病毒呢？這里就以感染orans.sys蠕蟲病毒的計算機為例， 探討如何檢測和查殺該類病毒。

檢測病毒體文件

Norton防病毒軟件報告c:windowssystem32orans.sys文件為Rootkit型病毒， 這里可以看到使用Rootkit代碼的SYS文件是無法逃過殺毒軟件檢測的。 那么是否刪除了該文件就能清除病毒呢， 答案是不行的。

首先在染毒的系統下該文件是受保護的， 無法被刪除。 即使用戶在安全模式下刪除了文件， 重新啟動后， 另外一個未被刪除的病毒文件將隨系統啟動， 并監控系統。

一旦其發現系統的注冊表被修改或病毒的SYS文件遭刪除， 病毒就會重新生成該文件并改回注冊表， 所以很多時候我們會發現病毒又重生了。 因此需要同時找到這兩個文件， 一并處理。 但在受感染的系統中， 真正的病毒體已經被Rootkit模塊隱藏了， 不能被殺毒軟件檢測到。

這時就需要從系統中的進程找到病毒的蛛絲馬跡。 系統自帶的任務管理器缺少完成這一任務的一些高級功能， 不建議使用。 這里向大家推薦IceSword或Process Explorer軟件， 這兩款軟件都能觀察到系統中的各類進程及進程間的相互關系， 還能顯示進程映像文件的路徑、命令行、系統服務名稱等相關信息。

在分析過程中不僅要留意陌生的進程， 一些正常系統進程也要仔細檢查， 因為病毒常以子進程插入的方式將自己掛到系統正常進程中。 在IceSword軟件中以紅色顯示的進程為隱藏進程， 往往是內核型木馬的進程。

端口分析也是一種常用的方法， 因為病毒常打開特殊的端口等待執行遠程命令， 部分病毒還會試圖連接特定的服務器或網站， 通過進程與端口的關聯， 檢測到病毒進程。

在上面的例子中我們通過比對正常運行的系統和染毒系統很快就判斷出系統中的restore進程為異常進程， 該進程的映像文件為c:windowsrestore. exe， 這樣我們就找到了病毒體文件。 而當找到這個文件時， 發現Norton沒有告警， 可見病毒文件躲過了殺毒軟件。

進一步分析還發現病毒在系統中添加了一項服務， 服務名稱為“restore”， 可執行文件路徑指向病毒文件。

手工清除病毒

1.關閉系統還原功能， 右鍵單擊“我的電腦”， 選擇“屬性”， 在“系統屬性”中選擇“系統還原”面版， 勾選“在所有驅動器上關閉系統還原”， 關閉系統還原功能。

2.重新啟動計算機進入安全模式， 在“控制面板”→“管理工具”中單擊“服務”， 病毒在這里添加了“restore”服務， 將該服務禁用。

3.手動刪除c:windows restore.exe和c:windows system32orans.sys兩個病毒文件。

4.運行注冊表管理器regedt32. exe， 查找注冊表病毒添加的表項。 在

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices

HKEY_LOCAL_MACHINESYSTEMControlSet001Services

HKEY_LOCAL_MACHINESYSTEMControlSet002Services

三個分支下發現病毒添加的 “orans.sys”和“restore” 注冊表項， 刪除該表項。

5.重啟動系統到正常模式， 打開系統還原功能， 并為系統安裝補丁程序。

這類病毒的變種很多， 從病毒生成的可執行文件到注冊的系統服務、傳播及危害方式都有所不同， 這里主要提供一個思路， 大家在遇到時能找準根源解決問題。 另外這類病毒多數是利用操作系統的漏洞或猜解管理員的口令入侵的， 有些病毒還能同時利用多個漏洞， 逐一嘗試。

因此大家要充分意識到打補丁的重要性， 同時避免空或弱的管理員口令， 降低病毒入侵的機會