浅析WINDOWS下的几类病毒

摘 要：介绍了目前WINDOWS下的几类主要的病毒，他们的危害及实现原理等，使计算机使用者对这些病毒有个大致的了解，加

>> ARP欺骗类病毒的防御 ＡＲＰ协议分析及ＡＲＰ欺骗类病毒的防御 Auto类病毒的通用免疫方法研究 发展中国家主要作物的病毒和类病毒病 鱼类病毒性出血病的复方中草药防治方法 怎样防范系统漏洞类病毒 浅析Windows NT内核下的病毒防火墙原理 果树类病毒及检测技术研究进展 洛仑兹力参与下物体的几类典型运动 浅析几类“吃空饷”行为的法律规制 Windows环境下驱动保护进程浅析 Windows系统IFEO映像劫持病毒的分析与防治 海水鱼类病毒与细胞相互作用机理研究概述 浅析Windows7系统下的BitLocker驱动器加密 浅谈Windows NTFS下的数据恢复 基于WINDOWS下的数据恢复 浅析Linux与Windows的区别 关于Windows 2000的漏洞解决浅析 洛伦兹力参与下的物体的几类典型运动 试论几类函数的迭代 常见问题解答 当前所在位置：、.html、.vbs和.js等类型的文件进行传播，由MsWindowsScriptHost脚本宿主解释执行的一类病毒。一般带有广告性质，会修改您的IE首页、修改注册表等信息，造成用户使用计算机不方便用脚本编写的病毒简单，具有传播快，破坏力大的特点。

脚本病毒种类比较多，比较常见的是VBS脚本病毒。

VBS病毒使用VBScript编写而成，该脚本语言功能非常强大，他们利用Windows对象、组件，可以直接对文件系统、注册表等进行控制。可以说，病毒实际上就是一种构思，但是这种构思在用VBS实现时变得极其容易。

脚本病毒具备如下特点。

（1）编写简单。一个对病毒一无所知的计算机使用者也可以在很短的时间里编出一个新型病毒来。

（2）破坏力大。其破坏力不仅表现在对文件系统及机器性能的破坏，还可以使邮件服务器崩溃，网络发生严重阻塞。

（3）感染力强。由于脚本是直接解释执行，并且它不需要像PE病毒那样做复杂的PE文件字段处理，因此这类病毒可以直接解释执行，并且自我的异常处理变得非常容易。

（4）传播范围大。这类病毒还可以通过HTM和ASP等网页文件、E-mail附件、KaZaA等网络共享工具和IRC传播，可以在很短时间内传遍世界各地。

（5）病毒源码容易被获取，变种多。由于VBA病毒解释执行，其源代码可读性非常强，即使病毒源码经过加密处理后，其源代码的获得还是比较简单。因此，这类病毒变种比较多，稍微改变一下病毒的结构，或者修改以下特征值，很多杀毒软件可能就无能为力了。

（6）欺骗性强。脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段，例如，邮件的附件名采用双后缀，如.jps.vbs。由于系统默认不显示后缀，这样，用户看到这个文件时，就会认为它是一个jpg图片文件。

（7）是病毒生产机实现起来非常容易。所谓病毒生产机，就是可以按照用户的要求进行配置以生成特定病毒的机器。目前的病毒生产机之所以大多数都为脚本病毒生产机，其中最重要的一点还是因为脚本采用解释执行的方式，实现起来非常容易。

欢乐时光是一个典型的VB源程序病毒，专门感染.htm、.html、.vbs、.asp和.htt文件。它作为电子邮件的附件，并利用Outlook Express的性能缺陷把自己传播出去，利用一个被人们所知的Microsoft Outlook Express的安全漏洞，可以在你没有运行任何附件时就运行自己。还利用Outlook Express的信纸功能，使自己复制在信纸的Html模板上，以便传播。这和“Wscript.KakWorm”病毒很相似，当你发信出去时，“欢乐时光”的源病毒隐藏在HTML文件上。只要你在Outlook Express上预览了隐藏有病毒的HTML文件，甚至你都不用打开它，它就能感染你的电脑。欢乐时光危害的根源在于微软的脚本宿主（MsWindows

ScriptHost）。MicrosoftWindows脚本宿主（WSH）是这样一个工具── 它使得用户可以在Windows操作系统上在本机运行VBScript和JScript。使用用户所熟知的脚本语言，就可以书写脚本来使普通任务自动化，并创建功能强大的宏和登录脚本。它还利用了类型库（Type？Library）成功地避开了安全审核，并采用了“爱虫”的FileSystem

Object（文件系统对象）的技术，这也几乎是所有VBS邮件病毒必不可少的部分。因此如果杀毒软件监视所有Html和Vbs中的FileSystemObject关键字，几乎可以查出所有和潜在的变种。如果仅监视关键字，如“爱虫”的“I？love？you”，“欢乐时光”的“Happy？Time”，造毒者只要将其改掉即可，再将邮件标题、内容和源码中的变量名替换一下，具有“智能查毒”的杀毒软件们也只有装聋作哑，望毒兴叹了。

2 windows PE 病毒

windows PE病毒是Win32环境自身所带的执行体文件格式，它的一些特性继承自UNIX的common object file format文件格式。它保留了MZ文件头以便于运行于DOS，在win重广泛存在，除了.dll和VXD格式不属于这个格式，可以在安全模式下删除，危害和一般病毒一样，通过修改可执行文件的代码重程序入口地址，变成病毒的程序入口，导致运行程序时启动病毒文件，如果感染，安全模式下删除就没事了。PE病毒在进行文件感染或网络传播时存在多种感染方式。

（1）传统感染。该类病技术性，病毒编写者通常需要对PE文件格式有比较深入的了解。该类病毒感染的原理是将病毒代码写入到目标宿主程序体内，然后修改目标宿主程序的文件头或者部分程序代码，使得宿主程序在运行时可以调用病毒代码的执行。这列病毒感染目标程序之后通常不会改变目标程序的图标，如果采用空隙式感染则不会增加目标程序的大小（如CIH病毒）。

这类病毒编写起来难度较大，写入到目标宿主程序体内的病毒代码自身要解决变量重新定位、自己搜索API函数地址等关键技术。通常这类病毒是使用Win32汇编编写的。这类计算机病毒在进行病毒清除时也比较困难。

（2）捆绑式感染。这类计算机病毒在感染宿主程序时，会使自身整体直接或者进行压缩之后放入到目标宿主程序之中，或者将自身代码覆盖到目标宿主程序最前面，同时将目标宿主程序直接或者进行压缩后保存在病毒程序之后。这样，当目标宿主程序运行时，实际上执行的是计算机病毒程序，为了保证目标程序也可以正常执行，该类计算机病毒会将原始目标程序解压释放然后执行。

当然，这类病毒在感染时需要对目标程序的图标进行提取替换，否则目标程序的图标就会发生改变。例如，熊猫烧香病毒便是这种感染方式，且被感染之后的PE文件图标都是一个熊猫图案。

这类计算机病毒在清除时的难度较前一种感染方式较小。

（3）复制性传播。这类计算机病毒本身不对任何PE文件进行感染，其通常在目标计算机中保存几个病毒文件。由于不感染任何文件，因此这类病毒程序必须在操作系统中写入自启动项，以便于系统重新启动之后这些病毒程序可以获得控制权。这类计算机病毒由于不感染本地主机中的文件，其在进行传播时通常采用可移动存储介质或者网络交互方式进行传播。

（4）覆盖式病毒。这类计算机病毒直接对目标PE文件进行覆盖，如“小浩”病毒。着了计算机病毒没有什么技术性可言，感染该类计算机病毒之后，原有的被感染文件数据全部或者部分丢失。在对这类计算机病毒进行清除时，直接删除掉病毒体文件即可。

3 宏病毒

宏是微软公司出品的Office软件包中所包含的一项特殊功能。微软设计此项功能的主要目的是给用户自动执行一些重复性的工作提供方便。它利用简单的语法，把常用的动作谢成宏，用户工作时，就可以直接利用事先编好的宏自动运行，以完成某项特定的任务，而不必反复重复相同的动作。宏是一段类似批处理命令的多行代码的集合。

宏病毒是使用宏语言编写的程序，可以在一些数据处理系统中运行，其存在于字处理文档、数据表格、数据库和演示文档等数据文件中，利用宏语言的功能将自己复制并且繁殖到其他的数据文档里。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。宏病毒本质上是利用宏语言进行编写的一些宏，不过这些宏的应用不是为了给人们的工作提供便利，而是会破坏文档，使人们的工作遭受损失。

虽然不是所有包含宏的文档都包含了宏病毒，但当有下列情况之一时，您可以百分之百地断定您的OFFICE文档或OFFICE系统中有宏病毒：（1）在打开“宏病毒防护功能”的情况下，当您打开一个您自己写的文档时，系统会会弹出相应的警告框。而您清楚您并没有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文档已经感染了宏病毒。（2）同样是在打开“宏病毒防护功能”的情况下，您的OFFICE文档中一系列的文件都在打开时给出宏警告。由于在一般情况下我们很少使用到宏，所以当您看到成串的文档有宏警告时，可以肯定这些文档中有宏病毒。（3）如果软件中关于宏病毒防护选项启用后，不能在下次开机时依然保存。WORD97中提供了对宏病毒的防护功能，它可以在“工具/选项/常规”中进行设定。但有些宏病毒为了对付OFFICE97中提供的宏警告功能，它在感染系统（这通常只有在您关闭了宏病毒防护选项或者出现宏警告后您不留神选取了“启用宏”才有可能）后，会在您每次退出 OFFICE时自动屏蔽掉宏病毒防护选项。因此您一旦发现：您的机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效，则您的系统一定已经感染了宏病毒。也就是说一系列WORD模板、特别是normal.dot已经被感染。鉴于绝大多数人都不需要或着不会使用“宏”这个功能，我们可以得出一个相当重要的结论：如果您的OFFICE文档在打开时，系统给出一个宏病毒警告框，那么您应该对这个文档保持高度警惕，它已被感染的几率极大。

综上所述，不管是哪类计算机病毒，对计算机用户的危害是毋庸置疑的，必须采取行之有效的防护措施，才能确保计算机用户的安全。因此不仅仅只是靠安装一个简单的杀毒软件就敷衍了事，还需要了解计算机病毒运作的原理，有一些预防病毒的意识。只要我们对各类计算机病毒做到心中有数，就能防范和解决各类计算机病毒了。