记一次清除“帕虫”病毒

下午去一个朋友家看他的电脑，系统是XP。朋友说估计是中了病毒，用起来特别不顺，而且杀毒软件都失效了，只要访问与安全有关的网站就会自动关闭。在CMD命令提示符下输入“dir/a/w”，好家伙，出现了熟悉的东西——Autorun.inf和一个可执行文件 。

我尝试用常规办法清除病毒，却毫无效果。于是重启电脑，按F8进入安全模式，结果在加载完最后一个底层驱动时蓝屏，系统崩溃。很明显，安全模式已被病毒破坏。

重新回到正常模式的XP系统，我发现任何调用进程、企图修改设置，哪怕只是稍微能改变注册表的工具软件都无法启动。看来这病毒相当棘手（后来确认，这就是传说中的“帕虫”。说起来挺郁闷，我都一年多没碰软件相关的东西了，很多新情况不了解也正常，知道的可别笑话我）。

我通过ADSL网络从网上复制了一段修复安全模式的注册表信息，保存为REG文件后导入。重启电脑，安全模式终于能进去了。我还暗自高兴，觉得这下能运行工具软件杀毒了，结果一运行某些U盘病毒清除工具，那个可恶的病毒进程就奇迹般地启动了。幸好拜月同志提醒我，把U盘清除工具程序的名字改了，再运行，居然就可以启动了（当时我都惊呆了，这帕虫对自身的保护做得那么厉害，没想到在这儿有个漏洞，竟然不是通过特征码来识别防护软件的）。

经过一系列操作，我本以为已经解决了问题。可再次重启电脑时，之前的努力全都白费了，病毒又死灰复燃。没办法，我又用同样的方法恢复安全模式，借助工具软件仔细排查，终于弄清楚这个“帕虫”会在%Windows%/system32中生成一些dll文件，并且都加载到了系统内核里，以此来保护自己（这个过程好像叫IFEO劫持，也就是所谓的windows文件映像劫持 ）。这时候就需要借助Unlock工具来清除这些保护机制。

经过一番折腾，终于把这个可恶的病毒从朋友的电脑里赶了出去。之后进行的一些防御性设置自然不在话下。

总体来看，这个“帕虫”病毒确实挺厉害。每次程序一运行，它先破坏电脑上的杀毒软件和其他防护软件，接着破坏安全模式，然后采取一系列保护措施：用户浏览网页时，一旦出现某些关键字，浏览器就会被病毒强制关闭；通过修改注册表，让QQ医生、360安全卫士等几十种常用软件无法正常运行。

不过它也有几个明显的漏洞。首先，它只在启动时破坏安全模式，如果每次系统启动和结束时都进行破坏，那就更难对付了。其次，它识别防护软件用的是关键字模式而非特征码模式，导致修改一下程序名字就能绕过它的防护。再者，IFEO劫持手段不够极致。要是在这几个方面加强一下，这个病毒肯定会更难清除。

先吃饭了，吃完饭把用到的几个工具分享出来。