最近不知道怎么回事,瑞星2004老是提示我的电脑中有Worm.Welchia.b.enc这个病毒,然后提示如何处理,一般情况下笔者选择将这个文件删除。但这样将感染病毒的文件删除之后,系统就会出现各种问题,首先是杀毒软件打不开,而且系统变得异常的缓慢,机器重启之后问题就没有。但没多长时间还是会出现这个病毒。于是笔者用瑞星2004对硬盘进行一次全面的查杀,结果没有发现任何病毒。
这是怎么回事呢?我在瑞星的主页里面查Worm.Welchia.b.enc这个病毒的资料,原来这是一个利用多个漏洞进行传播的蠕虫病毒,病毒运行后将自己复制到%System%\drivers\svchost.exe并在注册表中加入一个服务名为:WksPatch,其文件路径指向%System%\drivers\svchost.exe,显示名为以下3组字符串随机组合的服务。
字串组1:
Security
Remote
Routing
Performance
Network
License
Internet
字串组2:
Manager
Procedure
Accounts
Event
字串组3:
Sharing
Messaging
Client
但是这个病毒为啥杀了之后,重启电脑还会检测出病毒呢?笔者估计是Worm.Welchia.b.enc这个病毒在自己的电脑中留了一个后门,采用了一个随机的端口作为一个http服务器:当收到Get WksPatch.exe请求后,向请求发送WksPatch.exe文件,这样只要上网,就会感染病毒。由于笔者不知道Worm.Welchia.b.enc的后门具体在哪里,查起来也比较费尽,所以我们只能以防为主。首先启动瑞星2004主程序,在“工具”菜单中选择“系统工具扫描”(图1)。接下来在“安全漏洞”和“安全设置”的前面打上对号,然后点击下面的“开始扫描”按钮(图2),这样瑞星2004就会查找电脑里面的漏洞。在“安全漏洞”这个选项里面列出了具体有那些漏洞,并且提供了补丁的下载地址(图3),这里将这些补丁都下载到硬盘上,然后进行安装。能保证机器本身没有漏洞,这样被攻击的几率就少了很多。
接下来我们应该找一个防火墙,来将病毒发来的数据包进行拦截。这里笔者选择了瑞星防火墙,在http://www.i-3hao.com/down_view.ASP?id=163进行下载,然后安装就可以使用。在使用防火墙之前,先要设置一下安全级别,在这里我们设置较高安全级别就可以了(图4)。接下来再上网的时候笔者就会发现有若干的数据包被阻截(图5),要是没有防火墙的话,相信自己的机器又中招了。
自从安装完了防火墙和对机器打完补丁之后,自己的电脑就再也没有感染上病毒。其实笔者遇到的Worm.Welchia.b.enc这个病毒到目前为止没有根治的方法,所以我们就要以预防为主,先从内部补上漏洞,然后在外边加上防火墙,这样就杜绝了病毒再次侵入。如果你也遇到了用杀毒软件杀不干净的病毒,也不妨用笔者的方法试试,或许就能帮你解决问题呢。
[1] [2]
(出处:http://www.sheup.com)