当心BO就藏在贺卡里 


       当你收到朋友发来的电子贺卡时，一定会很高兴，但这很可能是个阴谋，BO就藏在贺卡里。

我收到了一位朋友的E-mail，主题是HAPPY99，正文没有内容，附件里是一个被做成.EXE的动画贺卡。

这很可疑：我的这个朋友的电脑水平我清楚，他不大可能会制作电子贺卡，更不会将贺卡转成.EXE；甚至他是否会很好地使用E-mail的附件功能都难说。

在欣赏完贺卡后，我检查了一下注册表，果不其然，在注册表的：我的电脑\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce里，多了一个名为ska的项目，调用SKA.EXE文件。删除这个项目后，我查看了windows\system\目录，在这里找到了ska.exe和ska.dll，将之删除，相信系统安全了。

值得引起重视的是，整个过程中，驻留内存，对系统进行后台监控的反病毒软件TBAV毫无动静，而另一个专门对付BO程序的软件AntiGen－BackOrificeCleaner,竟在注册表已被添加特洛伊的情况下报告一切正常！

在这里顺便提醒各位：不要过于相信反病毒软件，任何一个反病毒软件都会有漏洞的！对于机器是否受到BO程序的攻击，最保险的办法是查看注册表的以下项目是否有来历不明的东西：

我的电脑\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run；我的电脑\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce；我的电脑\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx;我的电脑\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices;我的电脑\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceOnce。

再有一点要说明的是，有人用反病毒软件查到BO程序，却不能清除病毒文件，是因为其正在被运行，只要到注册表的上述条目下找出BO程序的项目，删除，再重新启动机器，就可以删除BO程序文件了。

欢迎大家访问笔者网站：http://laiyang.soim.net,里面有不少笔者收集的免费和共享反病毒程序可下载。