由殺毒引起的……

        “忽如一夜熊貓來，千臺萬臺皆中招。”前段時間的熊貓燒香在網上一夜走紅，我沒怎麼感到到，作者就被抓了。是牛人越來越多了，還是我們網民的安全意識日趨下降了？

                                                                                                                                                                 ——題記

---

        前幾天一個朋友找我說電腦有問題，開機顯示不出圖標，要經過一些操作才能正常顯示桌面。

        拿到機器我查看了進程，好多陌生的進程，因爲是ACER的高端機，或許有很多ACER的相關服務程序，就沒有殺進程。運行了MSCONFIG看看啓動項，病毒和流氓軟件相當嚴重，機器連個殺毒軟件也沒有，於是我根據個人判斷先卸載了一些不必要的程序，再在安全模式下清理了啓動項，然後又裝了個卡巴6和safe360，更新後，基本的病毒都可以殺掉，但是有個病毒卡巴殺不了，每次都說重起後清楚，但是每次都不成功。它通過加載一個名爲rvlia.dll的文件，在windows/system32中找到刪除的時候說文件正在被使用，但是已經沒有可疑進程了。有些僞裝成系統進程的都判斷過了。想查一下到底是哪個進程調用了這個文件，突然想到VC裏帶個工具可以查看進程的DLL文件，但是機器上沒有，還好safe360也可以做到。原來是EXPLORER.EXE，這個進程要終止，系統就崩潰。到安全模式下看了看，這個文件依然被使用了，嵌的怎麼底層，還真不簡單。

        如果有DOS系統，那該多好啊，直接DEL就可以了，但是XP沒有純DOS。怎麼辦，想到從網上下載了一個矮人DOS，我以前沒用過，安裝後，在選擇操作系統時，進了矮人DOS，這是出現了一個GNU的GRUB，這個不是LINUX的自帶多系統引導程序嗎，但是命令不熟悉呀。到網上搜了下，看到一段程序就輸入進去了，後來才發現我是多麼的盲目。結果是把WIN98帶的DOS寫到了第一個分區，但是因爲缺少COMMAND.com文件，DOS還是進不去，而且現在每次啓動自動出現WINDOWS98畫面後，自動出現一行，卻少文件，無法進入DOS的界面，這可怎麼辦，連以前的WINDOWSXP的引導文件估計也被破壞了。

        當時我和朋友說的儘量不重裝系統，畢竟不是自己的機器，萬一系統盤有重要東西怎麼辦？現在看來估計不重裝不行了，我把自己的XP盤，最好用的一張，放進去，BIOS裏面已經設過BOOT 是CD-ROM了。但是依然不讀盤，直接到那錯誤的界面，只有一個原因，光驅壞了，但是之前我讀過光驅裏的一張盤，後來才發現是光驅不靈敏了，有的讀不出了，我借了系裏5，6張系統盤，都讀不出來，最後我的一張WIN 2003 SERVER 讀了，那就先裝上吧，我是這麼想的，總比這樣進不了系統好吧。一切很順利的裝上了，還好2003的驅動庫比XP豐富，好多都能識別，不用到網上下驅動（連驅動程序盤都沒有），不過2003用起來太麻煩了，上每個網站都要自己添加過濾，連關機都要說明原因。呵呵，服務器用的嘛，安全第一。

        在我安裝2003時候，在硬盤分區的界面有個特殊的分區，沒有盤符，空間有2個G大小，應該是矮人DOS工具，從別的盤裏P出來的，於是我把這2個G格式化了後，就在上面裝了2003。在裝之前，我趁着能讀出盤，用了系統修復臺，應該算個純DOS，一個DEL命令把那個可惡的DLL刪除了。現在成了雙系統了，但是XP進不了，啓動文件破壞了，本來找個XP盤可以修復的，但是無奈，光驅不爭氣。在2003下看C盤沒有重要的東西，下一步就再想怎麼把機器還原成只在第一個分區裝XP。光驅不讀真是麻煩，本來可以到網上下個XP，無奈太大，影響別人。光驅共享雖然用過，但是不知道怎麼用它來直接引導安裝。找個外接光驅更是不可能的，身邊就沒有這麼高檔的超薄還超輕的本本。

        怎麼辦啊？天無絕人之路，又被我找了個很老的WINDOWS XP SP1，是俄羅斯破解版……，可以讀。但是沒有控制檯，修復不了以前的XP系統。也顧不了太多了，重裝了，分區時候把2個G的盤併到了C盤裏，重新格掉了。激活是很容易，還記得曾經我用的時候就是選擇電話激活，然後都寫0。因爲是SP1，不打補丁以後要後患無窮的，於是UPDATE了一個下午。終於把SP2什麼的都更新好了。但是問題又出現了，更新過後系統被認爲是沒激活，而且都是0的電話也沒用了。到網上又找到了解決辦法，修改了註冊表和用戶策略權限。重起後就OK了。（有網絡就是好啊）。剩下的就簡單了，一個小病毒折騰的我夠戧，以前從來沒遇到過這麼頑固的病毒。最奇怪的就是我已經在註冊表裏將rvlia.dll都刪除了，已經找不到了，但是進程還會加載，初步懷疑病毒文件名是隨即改的。

        曾經見過他們討論一個成功的病毒是存活越長好還是越久好，一個厲害的病毒在感染了後，會連同本體一起消失，不留下病毒特徵碼，那纔夠毒。想到了前段時間網上流傳的熊貓燒香，我看過部分源碼，只是借用了前兩年的viking（威金）病毒修改的，作者無所不用其極的肆意添加破壞代碼，從刪除gho文件到全面蒐集防火牆的名字，人品惡劣到了一定程度，有才我德，我想能寫出熊貓燒香的人在CSDN上一抓一把。哲學上有這麼一句話，黑格爾的經典：存在即合理。我想只要網絡存在一天，病毒就不可能消失吧。從另一個方面說，病毒的出現也加快了互連網安全技術的進步。我一直搞不懂那些病毒的作者。

        所以請大家一定要小心，燒香的可能不是和尚，他可能是熊貓！如今網絡化的時代，安全意識更不可缺少。