由于近一段时间以来,微软打着反盗版的旗号,让Windows XP在启动时强行后台运行 Wgatray.exe这个程序,以提示用户你可能是盗版软件的受害者,这就是微软以补丁名义植入的盗版侦察兵程序。不过,这个程序并非是系统正常运行所必须的,所以删除它或替换它并不会让您有明显的感觉,流氓病毒及木马病毒均可仿冒或替换这个 Wgatray.exe,由于系统自身会通过wgalogon.dll自动合法地调用 Wgatray.exe,从而导致病毒根本不需要考虑如何实现病毒程序的自动加载问题!
wgalogon.dll是通过以下键值实现自动加载的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon:DllName:wgalogon.dll
危险的是,微软通过这种方式自动加载 Wgatray.exe 时,可能时出于临时添加这个功能的考虑,并没有对 Wgatray.exe 进行数字签名验证(但不排除日后微软仍然不验证,所以日后你发现不行时不要骂我),如果我们主动替换这个程序文件,则同样可以顺利运行(本人就把这个程序替换成自己每次启动时自动修复注册表的关键位置如各种自动加载键项等容易被病毒破坏的小程序,嘿嘿)
解决和预防办法:
1.运行 Gpedit.msc,找到用户配置→管理模板→系统,然后双击不要运行指定的Windows应用程序,再根据提示进行,输入 Wgatray.exe。
通过上述处理,不论微软如何升级它的盗版侦察兵程序,都会让它无法执行----当然仿冒的病毒程序也同样不能运行!
2.为了对全局所有账户生效,建议同时设置全局策略:控制面板→管理工具→本地安全策略→安全设置→软件限制策略,新建策略,其他规则,右击,选择新路径规则,输入%SystemRoot%\System32\Wgatray.exe确定;再新建一条:输入*\Wgatray.exe确定。这样防仿冒的效果更好!
方法之二(适合懒人):
由于上述操作比较复杂,并且如果是家庭版(Home Edition)时会找不到上述设置,所以本人将限制系统及常用进程仿冒的策略打包成 Wgatray.exe(附件),用这个替换系统的那个,以后每次启动时,都会自动给我们免疫一下系统进程仿冒的程序的运行了!类似 Exp1ore.exe 、Sv0host.exe 等上百种进程仿冒病毒都无法运行,而正常程序一般是不会刻意仿冒系统和常见进程的。哈哈!让微软从良!
注意:如果使用本方法,则就不能使用第一种方法,否则我们的免疫就不能运行了!