近日接到内网用户来报，在上到某些站点的时候，会被提示安装一个叫3721中文实名的插件，部分用户在不知情的情况下误点“安装”选项，导致该病毒驻留于硬盘上难以杀除。天缘虽是网络管理员，但是对Windows操作系统的确使用得不多，从来也没有用过这个名为3721的插件，但看到用户们焦急地神情，于是答应尽力而为。经过几番努力，终于将其斩于马下。 以下是杀除该病毒得经历及病毒解决方案。

天缘使用一台windowsxp机器，访问用户提供的站点，下载并执行了该插件。该插件为中文，自动安装后重新启动机器后生效，并自带卸载功能。通过安装/卸载前后的对比观察，其驻留性、自身保护性及对系统性能的大量损耗，让天缘确定了该插件确是病毒无疑！

病毒发作现象：

自动将浏览器的“搜索”功能重定向到一个叫www。3721。com的网站，该站点为中文站，且无法修改；

强行在用户ie上添加“情景聊天”、“上网加速”等几个图标；

不断刷新注册表相关键值，以达到成功驻留和大量消耗用户主机资源的目的；

每次启机加载，并自带进程保护功能，在正常地windows启动下难以杀除；

带自动升级功能，每次用户上网使用ie时，该病毒会后台执行升级；

病毒自身特点：

自带卸载功能；该病毒为达到隐藏自身目的，麻痹下载插件用户的目的，提供了卸载程序。但根据天缘的使用情况发现，在卸载后，该病毒程序依然驻留，启动时仍然加载，依然监视、改写注册表；

采用网络升级方式；该病毒为了防止用户以及杀毒软件的杀除，采取定期网上升级的方式，这点与近期的其他Windows主流病毒类似，但值得一提的是该病毒建有公开的病毒升级站点www。3721。com，且站点风格酷似门户、服务类站点，具有极大的欺骗性；

以驱动模式加载；该特性可说是近段时期以来病毒编写的一次技术飞跃，采用驱动模式加载配合挂接hook的方式，在windows下极难查杀（详细技术讨论见后）；

提供在浏览器地址栏中输入中文后转到其站点进行关键字查询的搜索服务。前段时间的冲击波克星病毒也曾在感染用户机器后自动连接用户的机器到update.Microsoft.com下载补丁，看来新的病毒越来

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页