Ｄｅｌｐｈｉ編程實現ｆｕｎ．ｘｌｓ．ｅｘｅ病毒查殺

摘要：在對fun.xls.exe變種病毒分析基礎上，結合Delphi技術，提出了該病毒的查殺思路，并實現了對該病毒的查殺。

關鍵詞：Delphi；病毒；進程；注冊表

中圖分類號：TP312文獻標識碼：A文章編號：1009-3044(2008)17-21412-01

近來，學校多媒體教室、學校機房電腦紛紛中了一種未知的計算機病毒，中病后的癥狀為：1)病毒進程會自動搜索每個磁盤的根目錄，獲得所有文件夾目錄名，將這些文件夾屬性設置為隱藏，并生成一個與文件同名的EXE文件，并采用文件夾的圖標，來達到欺騙用戶點擊的目的。2)每個磁盤的根目錄生成AutoRun.inf、fun.xls.exe、.exe文件，以達到打開磁盤自動運行的目的。3)殺毒軟件實時監控自動關閉并無法打開、禁用任務管理器、占用大量內存資源計算機運行速度緩慢。4)可以通過移動磁盤進行傳播。5)病毒進程修改注冊表鍵值，實現隨機啟動、阻止用戶查看隱藏文件等目的，嚴重影響了正常的教學工作的進行。經過分析，此病毒為fun.xls.exe病毒的一個新變種，在針對此病毒研究基礎上，采用Delphi為編程工具，在WinXP平臺下實現了對fun.xls.exe病毒的查殺。

1 病毒分析

計算機病毒概括起來講就是具有破壞性的程序或一組計算機指令，計算機病毒一般都具有潛伏、傳染、觸發、破壞等多種機制，但其傳染機制反映了病毒程序最基本的特征；本文從進程、注冊表、自我保護等計算機病毒常用的技術手段方面進行分析，提出了fun.xls.exe病毒的查殺的基本思路。

1.1 進程分析

所謂進程就是應用程序的一個運行實例，每個進程都有表示其存在的實例句柄，計算機病毒在Windows系統中表現為一個或多個進程。fun.xls.exe病毒，使用 Explorer.exe為進程名，名字和系統核心進程explorer.exe差別僅僅在于第一個字母，病毒進程的為大寫，系統正常進程名第一個字母為小寫。

1.2 自我保護機制分析

病毒運行后會釋放algsrvs.exe、msfun80.exe 、msime82.exe和alrsvc.dll等文件到Windows目錄下，文件屬性為隱藏，并且在每個磁盤的根目錄下生成 autorun.inf 和 fun.xls.exe兩個文件，若磁盤根目錄下有多少文件夾就隱藏多少文件夾，并以相同的名字出現在該分區下，并使用相應文件夾圖標，引誘用戶點擊病毒從而使病毒惡意傳播不容易查殺。

1.3 注冊表項分析

1.3.1 禁止查看文件隱蔽

為了使系統隱藏文件無法顯示，從而保證保護病毒文件的隱蔽性，病毒會把本來位于注冊表HKEY_LOCAL_MACHINE＼Software＼Microsoft＼windows＼CurrentVersion＼explorer＼Advanced＼Folder＼Hidden＼SHOWALL下有效的DWORD值CheckedValue刪除掉，并新建了一個無效的字符串值CheckedValue，并且把鍵值改為0，這樣用戶就無法使文件夾選項中設置顯示隱藏屬性的文件生效。

1.3.2 隨機啟動

病毒為了保證自己能隨機運行，會在注冊表HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run下添加相關鍵值。

2 解決方案及技術

病毒清除及系統修復流程如圖1所示：

2.1 終止病毒進程

API（Application Programming Interface，應用程序編程接口）是一套用來控制Windows的各個部件（從桌面的外觀到為一個新進程分配的內存）的外觀和行為的一套預先定義的Windows函數。用戶的每個動作都會引發一個或幾個函數的運行以告訴Windows發生了什么。在Windows系統中，動態鏈接庫kernel32.dll提供了獲取和處理系統進程的許多接口函數，Delphi語言把這些API函數接口封裝到Tlhelp32.pas中，供Delphi用戶開發過程調用。因此可以調用Tlhelp32單元中的CreateToolhelp32Snapshot函數獲取系統中行的進程（Process）列表，如果函數運行成功將返回一個非零\"Snapshot\"句柄。然后通過Process32First、Process32Next函數遍歷所有系統進程，如果病毒進程名稱匹配成功，則調用TerminateProcess函數終止病毒進程。

2.2 清除病毒文件

1)我們可以利用API函數中的GetLogicalDriveStrings很容易取得本機盤符列表，然后直接調用Delphi中封裝好的文件操作函數DeleteFile刪除每個磁盤根目錄生成的AutoRun.inf、fun.xls.exe、 .exe文件以及病毒釋放到Windows文件夾下的algsrvs.exe、msfun80.exe 、msime82.exe和alrsvc.dll等病毒體文件。2)利用API函數中的FindFile、FindNextFile來遍歷每個磁盤根目錄下文件夾，然后刪除病毒生成的與文件夾同名的EXE文件，這樣就徹底清除了所有病毒文件。

2.3 文件屬性修復

病毒將每個磁盤根目錄下文件夾屬性設置為隱藏、系統屬性，導致用戶無法修改文件屬性，我們可以使用Delphi提供的文件屬性操作函數FileGetAttr、FileSetAttr來進行文件隱藏屬性修復。

2.4 注冊表項

注冊表是一套控制操作系統外表和如何響應外來事件工作的文件。這些“事件”的范圍從直接存取一個硬件設備到接口如何響應特定用戶到應用程序如何運行等等。注冊表包含 Windows 在運行期間不斷引用的信息，例如，每個用戶的配置文件、計算機上安裝的應用程序以及每個應用程序可以創建的文檔類型、文件夾和應用程序圖標的屬性表設置、系統上存在哪些硬件以及正在使用哪些端口，因此常常被病毒進程修改，以達到自我保護的目的。在病毒文件清理完畢后，需要對注冊表鍵值進行修復，在Delphi中，Registry單元提供了對注冊表操作的功能，因此我們可以通過此單元中封裝好的OpenKey、WriteInteger、WriteString、DeleteValue等函數來實現注冊表鍵值修復的功能。

3 結束語

通過對fun.xls.exe變種病毒進程、自我保護、傳播等機制的研究，結合Delphi編程技術實現了該病毒的查殺，為此類病毒的查殺提供了基本的思路。

參考文獻：

[1] 程勝利.計算機病毒及其防治技術[M].清華大學出版社，2004.

[2] SteveTeixeira，XavierPacheco.Delphi5開發人員指南[M].中國鐵道出版社，2000.

[3] 喬林.參透Delphi/Kylix[M].中國鐵道出版社，2003.

[4] 馮艷君，王罡，劉臣奇.利用VB的API函數查殺匯編病毒的軟件設計與實現[J].鞍山師范學院學報，2007(02)

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文