病毒檔案之可執行文件病毒解析

 

可執行文件病毒是傳統病毒之一。這類病毒的編寫者的技術水平可說相當高超，可執行文件病毒大多用匯編/c編寫，利用被感染程序中的空隙，將自身拆分為數段藏身其中，在可執行文件運行的同時進駐到內存中并進行感染工作，dos下大多為可執行文件病毒居多，在windows下由于win95時期病毒編寫者對pe32的格式沒吃透，那段時間比較少，之后在win98階段可執行文件病毒才擴散開來，其中大家廣為熟悉的CIH病毒就是一例。

 

在windows發展的中后期，互聯網絡開始興盛，可執行文件病毒開始結合網絡漏洞進行傳播，其中的杰出代表為funlove傳播——由于windows操作系統的局網共享協議存在默認共享漏洞，以及大部分用戶在設置共享的時候貪圖方便不設置復雜密碼甚至根本就沒有密碼，共享權限也開啟的是“完全訪問”。導致funlove病毒通過簡單嘗試密碼利用網絡瘋狂傳播。

 

可執行文件病毒淺析：

 

由于可執行文件病毒的編寫對作者要求很高，對運行環境的要求也相當嚴格，在編寫不完善的時候，會導致系統異常（例如CIH的早期版本會導致winzip出錯和無法關閉計算機等問題；funlove在nt4上會導致 mssqlserver的前臺工具無法調出界面等問題）。可執行文件病毒賴以生存的制約是系統的運行時間和隱蔽性。運行時間——系統運行的時間越長，對其感染其他文件越有利，因此此類病毒中一般不含有惡意關機等代碼，染毒后短期內（一般24小時內）也不會導致系統崩潰（如果你是25日感染cih除外），和其他病毒相比用戶有足夠的處理時間。破壞引導區的大腦病毒、擇日發作的星期五病毒、直接讀寫主板芯片，采用驅動技術的CIH病毒都是其中的代表。

 

可執行文件病毒感染途徑：

 

可執行文件病毒本身依靠用戶執行而進行被動運行，常見感染途徑為：盜板光盤、軟盤、安全性不佳的共享網絡；

 

可執行文件病毒自查：

 

可執行文件病毒大多通過的是進駐內存后篇歷目錄樹的方式，搜索每個目錄下的可執行文件進行感染，因此對內存占用得比較厲害——如果突然在某個時間后發現自己的機器內存占用很高，可能就是感染了此類病毒。

 

可執行文件病毒查殺：

 

可執行文件病毒由于編寫難度較大，因此升級（病毒也玩升級？對，例如CIH是在1.4版本后才完善的）速度相對較慢，但由于開機后進駐的程序可能已經被病毒感染，因此殺毒條件是各種病毒中最為嚴格的，且這2種方式比較干凈徹底的方法也適用用后面介紹的各種病毒：

 

1.軟盤（光盤）啟機使用殺毒軟（光）盤進行殺毒；在進行這步的時候，必須要保證軟盤或光盤的病毒庫內已經有殺除該病毒的特征碼。

 

2.將硬盤拆下，作為其他機器的從盤；從其他機器的主盤啟動進行殺毒（該機需打開病毒即時監控，以防止來自從盤的可執行文件中的病毒進駐到內存中）；以常見的國產幾種殺毒軟件為例，在購買的正式版本中，除了供安裝使用的光盤外，一般還包含幾張軟盤（一張引導盤，一張殺毒程序盤，一張病毒庫盤）。在對待上面提到的可執行文件病毒時，最好的做法就是用引導盤啟動計算機，然后根據提示將殺毒程序盤和病毒盤依次插入，進行病毒查殺。