最近，在各大論壇的病毒版塊圍繞RavMonE.exe 展開的話題成為不小的熱點。“這個進程是什么病毒？”“該如何徹底清除？”“出現(xiàn)的新變種是哪些？”帶著同樣的疑問，筆者經過一段時間的觀察和仔細的查證發(fā)現(xiàn)RavMonE.exe屬于典型的木馬，并且在短期內衍生出了兩個變種： AdobeR.exe以及bittorrent.exe 。鑒于三者在癥狀表現(xiàn)、傳播途徑、清除方法完全一致，下文不在分別闡述，都以RavMonE.exe 為代表進行說明。

癥狀表現(xiàn)

病毒會在移動存儲設備中生成RavMonE.exe、autorun.inf、msvcr71.dll、RavMonLog，其中前三個具有隱藏屬性。除非關閉病毒進程否則無法正常移除設備（圖1），無法正常格式化。而且，設備的識別和讀寫速度緩慢，在內存較少的系統(tǒng)上尤其明顯。但是其中所有文件讀寫卻一切正常，并未遭到破壞或刪除。

操作系統(tǒng)感染后，會在任務管理器中發(fā)現(xiàn)病毒進程，平均每個消耗15MB左右的內存。值得注意的是進程的數(shù)量會隨雙擊打開設備的次數(shù)增加而增加，從而不斷消耗有限的內存最終可能造成死機。另外在系統(tǒng)分區(qū)中生成RavMonE.exe 、RavMoneE.exe.log、RavMonlog三個文件。同時注冊表被修改，每次啟動系統(tǒng)RavMoneE.exe 進程自動運行。

并不高明的偽裝術

RavMonE.exe酷似瑞星實時監(jiān)控程序，具有很強的偽裝性。在出現(xiàn)后較長的時間內，主流的殺毒軟件都沒有將其列入清理范疇。筆者通過Windows優(yōu)化大師集成的進程工具發(fā)現(xiàn)RavMonE.exe 自動開啟了系統(tǒng)的4個端口（圖2）。

以上特征都說明RavMonE.exe屬于典型的木馬。注意，不同用戶的系統(tǒng)被開啟的端口情況可能不同。

RavMonE.exe會不會像蠕蟲病毒通過網絡傳播呢？為此筆者在研究期間通過跟蹤發(fā)送出去的郵件以及QQ好友的反饋，甚至將病毒樣本帶到機房試驗，都未曾發(fā)現(xiàn)通過網絡復制的跡象。由此看來RavMonE.exe的傳播途徑僅限于移動存儲設備。

徹底清除

到本文完成時，主流殺毒軟件更新到最新病毒庫后可以查殺RavMonE.exe，但是如果msvcr71.dll和RavMonLog等關聯(lián)文件和變種卻無法徹底清理干凈。這時須要手動刪除，變種的清理方法也與此類似。

啟動系統(tǒng)進入安全模式，打開“控制面板”→“文件夾選項”→“查看”，選擇“顯示所有文件和文件夾”。刪除移動存儲設備中的RavMonE.exe、msvcr71.dll、autorun.inf、RavMonLog。

按下Ctrl+Alt+Del鍵，打開Windows任務管理器，終止所有的RavMonE.exe 進程。搜索系統(tǒng)分區(qū)，找到并刪除RavMonE.exe、RavMonLog、RavMonE.exe.Log。

打開注冊表編輯器，依次來到[HKEY_LOCAL_MACHINE\\Sof tware\\Microsoft\\Windows\\CurrentVersion\\Run]，如圖3，刪除右側字符串“RavAV”=“C:\\Windows\\ravmone.exe” (Windows 2000系統(tǒng)則是C:\\WinNT)。

退出注冊表，重新啟動系統(tǒng)，至此移動存儲設備和操作系統(tǒng)全部清理干凈。

最后，筆者建議大家者平時在外使用U盤時一定要開啟寫保護功能，簡簡單單就可以避免病毒的侵擾。如果不支持寫保護功能回到家中一定要仔細檢查幾遍，防止將病毒帶入系統(tǒng)，造成文件損壞或者隱私泄漏。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。