[当心身边的“移动”木马] 移动木马玩具

　　最近，在各大论坛的病毒版块围绕RavMonE.exe 展开的话题成为不小的热点。“这个进程是什么病毒？”“该如何彻底清除？”“出现的新变种是哪些？”带着同样的疑问，笔者经过一段时间的观察和仔细的查证发现RavMonE.exe属于典型的木马，并且在短期内衍生出了两个变种： AdobeR.exe以及bittorrent.exe 。鉴于三者在症状表现、传播途径、清除方法完全一致，下文不在分别阐述，都以RavMonE.exe 为代表进行说明。
　　
　　症状表现
　　
　　病毒会在移动存储设备中生成RavMonE.exe、autorun.inf、msvcr71.dll、RavMonLog，其中前三个具有隐藏属性。除非关闭病毒进程否则无法正常移除设备（图1），无法正常格式化。而且，设备的识别和读写速度缓慢，在内存较少的系统上尤其明显。但是其中所有文件读写却一切正常，并未遭到破坏或删除。
　　操作系统感染后，会在任务管理器中发现病毒进程，平均每个消耗15MB左右的内存。值得注意的是进程的数量会随双击打开设备的次数增加而增加，从而不断消耗有限的内存最终可能造成死机。另外在系统分区中生成RavMonE.exe 、RavMoneE.exe.log、RavMonlog三个文件。同时注册表被修改，每次启动系统RavMoneE.exe 进程自动运行。
　　
　　并不高明的伪装术
　　
　　RavMonE.exe酷似瑞星实时监控程序，具有很强的伪装性。在出现后较长的时间内，主流的杀毒软件都没有将其列入清理范畴。笔者通过Windows优化大师集成的进程工具发现RavMonE.exe 自动开启了系统的4个端口（图2）。
　　以上特征都说明RavMonE.exe属于典型的木马。注意，不同用户的系统被开启的端口情况可能不同。
　　RavMonE.exe会不会像蠕虫病毒通过网络传播呢？为此笔者在研究期间通过跟踪发送出去的邮件以及QQ好友的反馈，甚至将病毒样本带到机房试验，都未曾发现通过网络复制的迹象。由此看来RavMonE.exe的传播途径仅限于移动存储设备。
　　
　　彻底清除
　　
　　到本文完成时，主流杀毒软件更新到最新病毒库后可以查杀RavMonE.exe，但是如果msvcr71.dll和RavMonLog等关联文件和变种却无法彻底清理干净。这时须要手动删除，变种的清理方法也与此类似。
　　启动系统进入安全模式，打开“控制面板”→“文件夹选项”→“查看”，选择“显示所有文件和文件夹”。删除移动存储设备中的RavMonE.exe、msvcr71.dll、autorun.inf、RavMonLog。
　　按下Ctrl+Alt+Del键，打开Windows任务管理器，终止所有的RavMonE.exe 进程。搜索系统分区，找到并删除RavMonE.exe、RavMonLog、RavMonE.exe.Log。
　　打开注册表编辑器，依次来到[HKEY_LOCAL_MACHINE\Sof tware\Microsoft\Windows\CurrentVersion\Run]，如图3，删除右侧字符串“RavAV”=“C:\Windows\ravmone.exe” (Windows 2000系统则是C:\WinNT)。
　　退出注册表，重新启动系统，至此移动存储设备和操作系统全部清理干净。
　　最后，笔者建议大家者平时在外使用U盘时一定要开启写保护功能，简简单单就可以避免病毒的侵扰。如果不支持写保护功能回到家中一定要仔细检查几遍，防止将病毒带入系统，造成文件损坏或者隐私泄漏。
　　本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。 本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文