引言： 笔者需要使用某款工具软件，图省事就在网上随意下载了该软件的压缩包，因为安装有杀软和个人防火墙软件，所以就比较放心的打开该压缩包，结果导致被恶意程序侵袭，特写此文，以提醒读者朋友不能大意。

下载压缩包后，解压该注册机包，双击解压后得到的为“FFN-keygenv9.exe”的程序，弹出注册界面，看起来一切正常。但是，和杀软配套使用的某某卫士却提示“svchost.exe程序试图将自身添加到启动项”的信息框。笔者没有多想就点击同意了，因为很多软件都喜欢将自身添加到启动项中。不过，笔者安装的某款个人防火墙软件却意外退出了，当笔者试图重启该防火墙时，系统提示找到不对应的程序。

根据以上迹象，看来定有不法之徒在蠢蠢欲动。马上启动杀软，对全盘进行扫描，不过奇怪的是，杀软却报告没有发现可疑分子。运行“msconfig.exe”程序，在系统配置实用程序窗口中的“启动”面板中的确发现了名称 为“Microsoft Wizard”，路径为“C:Windowssvchost.exe”的可疑启动项。估计其一定和刚才使用的注册机有关，于是打开注册机压缩包，在其中发现两个文件，奇怪的是将其解压后，却只有一个文件。笔者仔细查看了该压缩包，发现了其中的问题。两个文件名称为“FFN-keygenv9.exe”和“FFN-keygenv9.exe”，乍一看完全一致，其实第一个文件主文件名后面有一个空格，另外一个却没有。之所以解压后只有一个文件，一定是其中一个文件具有系统和隐藏属性的缘故。打开文件夹选项窗口，在“查看”面板中“隐藏文件和文件夹”下的“显示所有文件和文件夹”一项消失了。

由此分析，“FFN-keygenv9 .exe”应该是主文件，其具有系统和隐藏属性，另外一个文件是冒牌货，当解压之后，“FFN-keygenv9 .exe”自动隐藏，显示的是“FFN-keygenv9.exe”文件，双击该程序后，它会自动调用处于隐藏状态的“FFN-keygenv9 .exe”程序，显示正常的注册机给用户，而“FFN-keygenv9.exe”则执行自身的代码，包括释放名为“svchost.exe”程序，并将其藏到启动项中。为了验证这一想法，笔者在CMD窗口中切换到解压后的注册机路径中，执行“dir /a”命令，果然看到了处于隐藏状态的“FFN-keygenv9 .exe”文件。接下来就要清除这些恶意分子。首先在CMD窗口中执行“attrib -a -h -s -r *.*”和“del *.*”命令，将注册机文件全部删除。之后在任务管理器中找到“svchost.exe”进程，注意其对应的是Administrator账户，不要殃及正确的“Svchost.exe”进程。当试图终止该进程时，却发现根本无法将其结束。既然这样，不如来个釜底抽薪，将启动项中的“svchost.exe”清除。运行“msconfig.exe”程序，将名为“Microsoft Wizard”的启动项删除。之后重启系统，以为这样就万事大吉了。不过当重启之后，系统出现蓝屏故障，无法进入Windows。看来问题没有那么简单，重启之后点击F8键，调出系统启动菜单，选择“最后一次的正确配置”项，终于可以进入系统。在CMD窗口中进入“C:Windows”文件夹，手工删除“svchost.exe”程序。之后却发现所有的EXE程序都无法启动了。当试图运行EXE程序时，系统弹出打开方式窗口，让用户选择目标软件。

其实，以上现象只是说明EXE文件的关联被恶意修改了。因为之前已经打开了CMD窗口，所有可以正常执行命令。其实，也可以采取将“cmd.exe”更名为“cmd.com”之类的方法，来顺利启动CMD窗口。在CMD窗口中运行“assoc .exe”命令，显示“.exe=exefile”，看起来没有问题。但是运行“ftype exefile” 命令，就出现问题了，在正常状态下。应该显示“exefile="%1"%*”字样，但是这里却显示为“exefile=C:Windowssvchost.exe "%1" %*”，说明在运行EXE程序前，必须运行已经被删除的“svchost.exe”才行。执行“ftype exefile="%1" %*”命令，修复了EXE程序的关联关系，之后就可以顺利启动EXE程序了。因为在运行上述“FFN-keygenv9.exe”程序后，其自动终止并卸载了笔者安装的某款个人防火墙。笔者就重新安装了该防火墙软件，让其继续保护系统安全。为了进一步了解该恶意程序，笔者重新运行了“FFN-keygenv9.exe”程序，并在防火墙中对其活动进行了监视，发现该程序释放出的“svchost.exe”程序，会自动和IP为“XXX.XXX.152.96”远程主机进行通讯，并向其发送3701个字节数据。

据此，可以清晰的看到该恶意程序的活动特点，先使用障眼法以打开注册机的名义，将正常的注册机程序设置为隐藏状态，之后诱使用户运行假冒的注册机程序，在调出正常注册机的背后，假冒程序释放出“svchost.exe”程序，并将其放置到启动项中，同时激活该恶意程序。通过修改EXE文件关联，将“svchost.exe”程序和EXE程序之间建立联系，只要运行任意EXE程序，就会激活该“svchost.exe”程 序。“svchost.exe”程序运行后，会修改注册表中和文件显示相关的项目，将“显示所有文件和文件夹”等项目隐藏起来，增加用户搜索可疑文件的难度。如果用户安装有个人防火墙软件，“svchost.exe”程序就会对其进行终止和卸载操作，目的就是不让用户借助防火墙来观察其非法网络连接和通讯操作，估计在该恶意程序中已经内置了针对常用个人防火墙的破坏方式。

但是，当您使用杀软扫描硬盘，试图清除这些不法分子时，却没有发现什么线索。其原因在于这些恶意程序本身不是病毒，倒是和恶作剧之类的恶意程序有些相似，本身没有太大的破坏力。不是病毒，木马，蠕虫等显眼的不法分子，自然不在杀软的清除之列。该恶意程序虽然自身带有某些木马的特点，但是并没有危害到系统和数据的安全，清除的方法也不复杂，依照清除与之关联的启动项，修复EXE文件关联，恢复注册表中和文件隐藏相关的内容，删除“svchost.exe”程序，重装被其卸载的个人防火墙软件就解决问题了。当清除了上述恶意程序，恢复系统正常运行状态后。笔者引发了一番思考，看来，仅仅依靠杀软来保护系统安全是不够的，对于一些带有恶作剧性质的恶意程序，往往不在杀软的防御之列。这就要求我们提高防范意识，不断学习和积累安全防御知识，能够从一些不起眼的痕迹中发现恶意程序的存在，并分析其特点，找到清除的方法，进而将其从系统中驱逐出去。