3721病毒殺除方法詳解(轉)

3721病毒殺除方法詳解(轉)[@more@]　　近日接到內網使用者來報，在上到某些站點的時候，會被提示安裝一個叫3721中文實名的外掛，部分使用者在不知情的情況下誤點“安裝”選項，導致該病毒駐留於硬碟上難以殺除。天緣雖是網路管理員，但是對Windows作業系統的確使用得不多，從來也沒有用過這個名為3721的外掛，但看到使用者們焦急地神情，於是答應盡力而為。經過幾番努力，終於將其斬於馬下。 以下是殺除該病毒得經歷及病毒解決方案。　　

　　天緣使用一臺windowsxp機器，訪問使用者提供的站點，下載並執行了該外掛。該外掛為中文，自動安裝後重新啟動機器後生效，並自帶解除安裝功能。透過安裝/解除安裝前後的對比觀察，其駐留性、自身保護性及對系統效能的大量損耗，讓天緣確定了該外掛確是病毒無疑！

　　病毒發作現象：　　

　　自動將瀏覽器的“搜尋”功能重定向到一個叫www。3721。com的網站，該站點為中文站，且無法修改；　

　　強行在使用者ie上新增“情景聊天”、“上網加速”等幾個圖示；　　

　　不斷重新整理登錄檔相關鍵值，以達到成功駐留和大量消耗使用者主機資源的目的；　　

　　每次啟機載入，並自帶程式保護功能，在正常地windows啟動下難以殺除；　　

　　帶自動升級功能，每次使用者上網使用ie時，該病毒會後臺執行升級；

　　病毒自身特點：　　

　　自帶解除安裝功能；該病毒為達到隱藏自身目的，麻痺下載外掛使用者的目的，提供了解除安裝程式。但根據天緣的使用情況發現，在解除安裝後，該病毒程式依然駐留，啟動時仍然載入，依然監視、改寫登錄檔；　　

　　採用網路升級方式；該病毒為了防止使用者以及防毒軟體的殺除，採取定期網上升級的方式，這點與近期的其他Windows主流病毒類似，但值得一提的是該病毒建有公開的病毒升級站點www。3721。com，且站點風格酷似門戶、服務類站點，具有極大的欺騙性；

　　以驅動模式載入；該特性可說是近段時期以來病毒編寫的一次技術飛躍，採用驅動模式載入配合掛接hook的方式，在windows下極難查殺（詳細技術討論見後）；　　

　　提供在瀏覽器位址列中輸入中文後轉到其站點進行關鍵字查詢的搜尋服務。前段時間的衝擊波剋星病毒也曾在感染使用者機器後自動連線使用者的機器到update.Microsoft.com下載補丁，看來新的病毒越來越多地喜歡提供一些另類功能了；　　

　　被動方式傳播：利用一些站點來進行傳播，而不是主動感染其他機器，這點與當前熱門的“美女圖片”病毒的方式相近。從主動轉向被動，可說是今年一些病毒的新特點。