win32.parite.a是當(dāng)前高發(fā)的病毒。它感染所有的可執(zhí)行文件，并且非常狡猾，讓用戶清除起來(lái)非常困難。同時(shí)作為一種相當(dāng)容易傳播的病毒，對(duì)我們使用電腦帶來(lái)很大的威脅。本期，來(lái)自浙江的裘文鋒使用雷霆手段，斬該病毒于馬下。下面我們一起來(lái)看看裘文鋒的精彩表演。
    病毒的目標(biāo)——可執(zhí)行文件
    “真倒霉，我下載的賀卡文件怎么都沒(méi)用了！” 早上一上班，同事小劉MM憤憤不平的話語(yǔ)清晰地傳到了我的耳畔。緊接著，她飄然而至：“這回得請(qǐng)電腦高手相助了！”面對(duì)MM的邀請(qǐng)，我二話沒(méi)說(shuō)就和她來(lái)到了事發(fā)現(xiàn)場(chǎng)。
    小劉MM在我面前想打開幾個(gè)賀卡都遭到了失敗，彈出了播放窗口。 “這是我珍藏的幾個(gè)賀卡。”小劉MM告訴我。我仔細(xì)分析了這幾個(gè)文件，結(jié)果發(fā)現(xiàn)可執(zhí)行文件都被病毒感染，無(wú)法正常運(yùn)行了。而且她的殺毒軟件的可執(zhí)行文件也無(wú)法運(yùn)行。通過(guò)現(xiàn)場(chǎng)勘查，的結(jié)論是小劉MM的電腦中毒了。那么，她的電腦中了什么病毒呢？
    我充分發(fā)揮自己在網(wǎng)絡(luò)安全方面的特長(zhǎng)，對(duì)小劉MM的上網(wǎng)行為進(jìn)行了認(rèn)真調(diào)查。從她口中得知，文件損壞是今天早上才發(fā)現(xiàn)的，因此很可能是昨天感染病毒的。我打開了小劉MM的IE訪問(wèn)歷史記錄，在歷史記錄中找到昨天的網(wǎng)址。為了不錯(cuò)過(guò)病毒留下的蛛絲馬跡，我采用地毯式的排查方法。當(dāng)我確定排除一個(gè)不用懷疑的網(wǎng)址時(shí)，便感到躲在角落的病毒離我近了一步。
    這時(shí)，我發(fā)現(xiàn)了一個(gè)下載綠色版本的Real player的頁(yè)面。經(jīng)過(guò)詢問(wèn)得知，昨天一個(gè)網(wǎng)友發(fā)來(lái)一個(gè)Real格式的生活視頻，因?yàn)闆](méi)有安裝播放器，小劉便下載了安裝了這個(gè)版本的Real player.對(duì)病毒的敏銳感覺(jué)告訴我：幕后主角很快會(huì)被我揪出來(lái)。
    我在自己的計(jì)算機(jī)開始下載該Real player文件。完成時(shí)，我新升級(jí)的病毒防火墻彈出了病毒警報(bào)，顯示的是win32.parite.a病毒。證據(jù)確鑿，終于將小劉電腦的破壞者抓捕歸案了。我胸有成竹地告訴小劉：“你的電腦中的文件損壞是由于帶病毒的Real player引起的?！薄罢娴膯?？那么怎么清除這個(gè)病毒呢？”小劉信任地注視著我。
    翻查病毒檔案
    我查詢了一下win32.parite.a病毒的資料，發(fā)現(xiàn)這是一種當(dāng)前高發(fā)病毒。win32.parite.a通過(guò)在win32pe類型文件（如：scr屏幕保護(hù)程序文件、exe可執(zhí)行文件）的尾部加入加密的程序，PE的執(zhí)行入口被修改為指向病毒解密代碼，使它運(yùn)行時(shí)轉(zhuǎn)到病毒處，執(zhí)行完病毒的流程然后再返回到宿主程序的代碼從而可執(zhí)行程序便無(wú)法正常工作。
    第運(yùn)行時(shí)，win32.parite.a病毒會(huì)創(chuàng)建一個(gè)臨時(shí)文件，而文件名則是隨機(jī)的，比如： C：\WINDOWS\TEMP\pgt91F0.TMP.這是一個(gè)動(dòng)態(tài)鏈接庫(kù)文件，它包含了病毒的主要功能。而病毒會(huì)把本地的動(dòng)態(tài)鏈接庫(kù)文件存放在注冊(cè)表的 HKEY_CURRENT_USER\Software\Microso ft\Windows\CurrentVersion\Explorer\PINF鍵，運(yùn)行時(shí)，病毒會(huì)附加在Explorer.exe文件上以便駐留內(nèi)存。
    病毒會(huì)感染本地及它可以訪問(wèn)的網(wǎng)絡(luò)驅(qū)動(dòng)器上的exe和scr文件。任何exe和scr文件一旦運(yùn)行，馬上就被感染。
    斬殺頑固病毒
    鑒于win32.parite.a病毒的傳染性，首先下載了流行病毒專殺工具spant.exe（下載地址：http://www.onlinedown.net/soft/20838.htm）。然后我拔除了小劉的網(wǎng)線，以切斷病毒蔓延的路徑。后進(jìn)行殺毒（圖3）。
    殺毒時(shí)，按“Ctrl+Alt+Del”組合鍵打開任務(wù)管理器，停止“Explorer.exe”進(jìn)程，此時(shí)任務(wù)欄和桌面將消失。按“Alt+Tab”組合鍵選中啟動(dòng)的殺毒軟件，進(jìn)行全面殺毒。后重啟進(jìn)入安全模式，刪除C：\WINDOWS\TEMP\下的文件和相應(yīng)的注冊(cè)表鍵。
    至此，病毒被成功清除。由于發(fā)現(xiàn)得早，感染文件數(shù)量不是很多，因此可以采取上述方法清除。如果，中毒嚴(yán)重很可能破壞所有可執(zhí)行文件，建議使用殺毒軟件的啟動(dòng)光盤進(jìn)行殺毒。同時(shí)由于破壞文件太多，只能清除病毒后重新安裝系統(tǒng)。病毒被清除之后，被病毒破壞的文件不能恢復(fù)。
    給MM上一堂安全課
    win32.parite.a病毒真好比是專吃可執(zhí)行文件的白蟻，不知不覺(jué)就毀壞了大量的文件。當(dāng)你意識(shí)到病毒侵入時(shí)，病毒造成的損失卻已無(wú)法挽回。其實(shí)，病毒并非無(wú)孔不入，只要你提高警惕，就可以防患于未然了。
    我們要培養(yǎng)良好的上網(wǎng)習(xí)慣。盡量從大網(wǎng)站或者軟件母網(wǎng)站下載，不下載或者盡量少下載綠色版本、*版本的軟件，從而阻止木馬和病毒程序乘虛而入。
    上網(wǎng)平臺(tái)的安全性同樣重要。Windows XP自帶的防火墻能力有限，你需要安裝一款更強(qiáng)大的防火墻提高上網(wǎng)安全性。防火墻在如今木馬病毒盛行的網(wǎng)絡(luò)環(huán)境下將成為保護(hù)系統(tǒng)的第一道屏障。
    安裝防火墻后，需要進(jìn)行個(gè)性化配置，比如在瑞星防火墻中就有對(duì)游戲、QQ、MSN等網(wǎng)絡(luò)程序進(jìn)行實(shí)時(shí)防護(hù)。另外，防火墻也須注意更新，確保病毒第一時(shí)間被鏟除。