女鬼病毒

“女鬼”病毒亦稱為“恐怖女鬼”病毒，其國際標準命名為Joke-Ghost，在台灣地區因為其圖標為麥當勞標誌，所以還有一個“麥當勞”的別名。其實就嚴格意義上來説，“女鬼”並不是一個病毒，只是一個惡作劇程序，屬於Hoax（虛假消息）或者Joke Program（玩笑程序）的範疇，而且其不具有病毒“自我複製、自我傳播和對計算機軟硬件產生破壞”的特性。但是從其危害程度和對社會產生的影響上來看，各防病毒軟件公司還是將其作為病毒來阻止其進一步傳播以防止產生不良的社會影響。 ^[1] 

類似女鬼的惡作劇程序非常的多，在網上流傳較廣的是“地震”和“刪除系統”這兩個程序。這類程序一般都不會對計算機產生實際的破壞作用，不會自我複製傳播，更不會更改系統註冊表達到長期駐留的目的。其一般都是通過電子郵件附件的形式進行傳播，而且一般發信人都是收信人的好友。女鬼病毒之所以引起各方的關注，不是由於它對計算機產生什麼影響而是對使用計算機的人產生巨大的恐嚇、驚嚇作用。女鬼病毒的源文件在執行時，只會在屏幕上顯示一個關於一個美食家殺害其妻子的粗糙的恐怖故事，而用户閲讀完畢之後，可以把程序關閉，繼續作其它的事情。但是在首次執行五分鐘後，屏幕上會突然出現一個恐怖的全屏幕女鬼圖像和一段恐怖的聲響效果，往往將毫無防備的用户驚嚇得目瞪口呆，嚴重的將產生神志恍惚的情況。因此有醫學專家指出，這個忽然有女鬼出現於熒幕的惡作劇病毒非常危險，如打開程序的用户患有心臟病或癲癇症則可能會立即病發，在無人照顧的情況下容易導致死亡。有關人士還進一步指出，過去曾有因為突然受到外來的驚嚇而致死的病例，所以極不鼓勵計算機用户利用類似的惡作劇程序去作弄別人。外電報道的受驚嚇最終導致死亡的台灣女大學生就是因為在半夜打開該程序而引發的。

縱觀此女鬼病毒，其比一些其它惡作劇程序有更大破壞作用的原因，其中非常重要的一個就是程序編寫者非常瞭解人類的心理習慣。女鬼病毒開始時講述的那個蹩腳的恐怖故事只是起一個鋪墊作用，用户看完之後不管信與不信，短時間內都不會忘記。而程序作者設定該女鬼圖像在鬼故事講完5分鐘後發作就是充分利用了心理暗示的作用。在接近忘記但存留有些許記憶而且精神鬆懈沒有防備的情況下，突然出現女鬼圖像並伴隨一段恐怖的嘶叫聲，確實能夠起到驚嚇的作用。有越來越多的現象表明，網絡上流傳的一些新病毒的編寫者開始利用人類心理特點來製造破壞的趨勢。比如前期流行的“愛蟲”病毒，作者將其起名為“情書”，多少有點利用人類心理特點的色彩。試想一個用户雖然聽多了反病毒專家的警告不要打開來歷不明的電子郵件，但是面對一封別人發給你的“情書”，大多數的人還是會受強烈的好奇心驅使打開該郵件。而且這類惡作劇程序的傳播與病毒傳播方式相比還有其特色，即計算機用户加入到了傳播環節中。由於這類程序通常不具備病毒的自我複製和傳播功能，因此這類程序的流傳都是人為造成的後果，它不象病毒會在用户毫不知情的情況下，自動向其它用户傳播，它常常是某些用户故意傳送給其它用户的。一些用户經常會在某種心態的驅使下，向其他人“推薦”或者乾脆直接發送給其它用户。這是這類程序與真正的病毒相比在傳播途徑上的不同點。

但是我們也不應當忽視：雖然這類玩笑程序對計算機不產生破壞，但是某些心懷叵測的人還是會將其作為一種新病毒的延續。假使女鬼病毒加上自我複製自我傳播的功能段，完全可以達到更大的破壞作用和傳染面。一些新技術的應用也會在病毒的傳播方面起到推波助瀾的作用，比如女鬼病毒如果是用VBS或者JAVA程序編寫的，如果女鬼病毒會感染操作系統，會修改系統配置和文檔，增強了隱蔽性和實際的破壞性，其破壞結果不可想象。

那如何檢測自己是否中了女鬼病毒呢？一個簡單的方法就是在硬盤上查找是否有名為MC.EXE或者帶麥當勞圖標的文件，或者在Windows操作系統下同時按CTRL-ALT-DEL鍵，查看進程中是否有名為MC的進程。刪除方法也非常簡單，將硬盤上存有的該文件刪除或者在進程中點擊“結束進程”操作，即可避免。但是這種方法也僅僅是用户感染的是原版的女鬼文件時才有效。任何一個稍有電腦使用知識的用户便可使用一些將該文件的圖標改換或者修改成其它的名稱，這對女鬼病毒的用户自我防治帶來一定的困難。

對於這類病毒的防治方法與普通的防病毒方法是一樣的。在使用計算機的過程中牢記：不要打開來歷不明的電子郵件，即便是來自熟悉的好友的郵件，也最好是在明確之後再打開；儘量避免使用微軟操作系統中自帶的郵件程序OUTLOOK系列。因為微軟在其程序中加入了非常多的對新技術的支持。這些新技術一方面可以為用户帶來便利的操作和更個性化的配置，但是這些高級功能對普通用户來説具有非常高的危險性，比如自動預覽和自動簽名功能。非常多的郵件病毒都是針對Outlook的這些功能來編寫的，換句話説這些病毒只會在用户使用Outlook系列軟件收信時才會發作，比如Kak病毒和美麗沙病毒。建議用户使用一些非微軟的郵件系統來收取郵件，如國內非常著名的Foxmail。這類郵件程序由於不支持Java Script和VB Script語言，因此中這些病毒的可能性要小些。建議用户經常使用殺毒軟件來對系統查毒和進行實時監控。即便是有使用殺毒軟件習慣的用户也需要注意經要常保持軟件的升級以查殺更多更新的病毒。此外不要使用盜版的殺毒軟件，這些軟件有的在進行解密的過程中破壞了原程序的功能或者本身就帶有病毒。計算機用户還需要關心主流媒體和網絡媒體發佈的新聞，獲知最新病毒的情況和特徵，加強自我防護的能力。而一旦遇上病毒也不要驚惶失措，應當保持冷靜的頭腦，立即關機將損失減到最小，然後使用專業殺毒軟件或者尋求專業軟件商的技術支持，和解決方案。

女鬼病毒BACKDOOR.GIRLGHOST2

注意：開機按f8進入安全模式清除

手工清除方法：

一、查找文件名為"(未設置鍵值)." 、"?" 、"mm2.jpg." 的文件.並將它們刪除。[開始]→[查找]→。

二、用註冊表編.輯器REGEDIT恢復鍵值：

HKEY_CLASSES_ROOTjpegfileshellopencommand的默認值為 "C:PROGRA~1INTERN~1iexplore." -nohome

在啓動項中恢復以下鍵值：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun的默認值改為 (未設置鍵值) （對應其生成的文件(未設置鍵值).）改為"" HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices的默認值改為 " "中間有一個空格（對應其生成的文件（?）空格.）改為""中間.無空格。