淺析WINDOWS下的幾類病毒

摘 要：介紹了目前WINDOWS下的幾類主要的病毒，他們的危害及實現原理等，使計算機使用者對這些病毒有個大致的了解，加強對這類病毒的防范意識。

關鍵詞：病毒 傳播 變形 執行

中圖分類號：TP3 文獻標識碼：A 文章編號：1672-3791（2012）11（a）-0016-02

有關計算機病毒這方面的論文很多，大多數文章都談到了計算機病毒產生的根源、特征、傳播途徑、攻擊方式、中毒癥狀已經如何防范。而我今天要談的是WINDOWS環境下的幾種常見計算機病毒他們是什么原理編寫，如何編寫，危害以及如何防范此類病毒。

1 腳本病毒

腳本病毒通常是基于VB Script和Java Script腳本語言編寫的惡意代碼，利用.asp、.htm、.html、.vbs和.js等類型的文件進行傳播，由MsWindowsScriptHost腳本宿主解釋執行的一類病毒。一般帶有廣告性質，會修改您的IE首頁、修改注冊表等信息，造成用戶使用計算機不方便用腳本編寫的病毒簡單，具有傳播快，破壞力大的特點。

腳本病毒種類比較多，比較常見的是VBS腳本病毒。

VBS病毒使用VBScript編寫而成，該腳本語言功能非常強大，他們利用Windows對象、組件，可以直接對文件系統、注冊表等進行控制。可以說，病毒實際上就是一種構思，但是這種構思在用VBS實現時變得極其容易。

腳本病毒具備如下特點。

（1）編寫簡單。一個對病毒一無所知的計算機使用者也可以在很短的時間里編出一個新型病毒來。

（2）破壞力大。其破壞力不僅表現在對文件系統及機器性能的破壞，還可以使郵件服務器崩潰，網絡發生嚴重阻塞。

（3）感染力強。由于腳本是直接解釋執行，并且它不需要像PE病毒那樣做復雜的PE文件字段處理，因此這類病毒可以直接解釋執行，并且自我的異常處理變得非常容易。

（4）傳播范圍大。這類病毒還可以通過HTM和ASP等網頁文件、E-mail附件、KaZaA等網絡共享工具和IRC傳播，可以在很短時間內傳遍世界各地。

（5）病毒源碼容易被獲取，變種多。由于VBA病毒解釋執行，其源代碼可讀性非常強，即使病毒源碼經過加密處理后，其源代碼的獲得還是比較簡單。因此，這類病毒變種比較多，稍微改變一下病毒的結構，或者修改以下特征值，很多殺毒軟件可能就無能為力了。

（6）欺騙性強。腳本病毒為了得到運行機會，往往會采用各種讓用戶不大注意的手段，例如，郵件的附件名采用雙后綴，如.jps.vbs。由于系統默認不顯示后綴，這樣，用戶看到這個文件時，就會認為它是一個jpg圖片文件。

（7）是病毒生產機實現起來非常容易。所謂病毒生產機，就是可以按照用戶的要求進行配置以生成特定病毒的機器。目前的病毒生產機之所以大多數都為腳本病毒生產機，其中最重要的一點還是因為腳本采用解釋執行的方式，實現起來非常容易。

歡樂時光是一個典型的VB源程序病毒，專門感染.htm、.html、.vbs、.asp和.htt文件。它作為電子郵件的附件，并利用Outlook Express的性能缺陷把自己傳播出去，利用一個被人們所知的Microsoft Outlook Express的安全漏洞，可以在你沒有運行任何附件時就運行自己。還利用Outlook Express的信紙功能，使自己復制在信紙的Html模板上，以便傳播。這和“Wscript.KakWorm”病毒很相似，當你發信出去時，“歡樂時光”的源病毒隱藏在HTML文件上。只要你在Outlook Express上預覽了隱藏有病毒的HTML文件，甚至你都不用打開它，它就能感染你的電腦。歡樂時光危害的根源在于微軟的腳本宿主（MsWindows

ScriptHost）。MicrosoftWindows腳本宿主（WSH）是這樣一個工具── 它使得用戶可以在Windows操作系統上在本機運行VBScript和JScript。使用用戶所熟知的腳本語言，就可以書寫腳本來使普通任務自動化，并創建功能強大的宏和登錄腳本。它還利用了類型庫（Type？Library）成功地避開了安全審核，并采用了“愛蟲”的FileSystem

Object（文件系統對象）的技術，這也幾乎是所有VBS郵件病毒必不可少的部分。因此如果殺毒軟件監視所有Html和Vbs中的FileSystemObject關鍵字，幾乎可以查出所有和潛在的變種。如果僅監視關鍵字，如“愛蟲”的“I？love？you”，“歡樂時光”的“Happy？Time”，造毒者只要將其改掉即可，再將郵件標題、內容和源碼中的變量名替換一下，具有“智能查毒”的殺毒軟件們也只有裝聾作啞，望毒興嘆了。

2 windows PE 病毒

windows PE病毒是Win32環境自身所帶的執行體文件格式，它的一些特性繼承自UNIX的common object file format文件格式。它保留了MZ文件頭以便于運行于DOS，在win重廣泛存在，除了.dll和VXD格式不屬于這個格式，可以在安全模式下刪除，危害和一般病毒一樣，通過修改可執行文件的代碼重程序入口地址，變成病毒的程序入口，導致運行程序時啟動病毒文件，如果感染，安全模式下刪除就沒事了。PE病毒在進行文件感染或網絡傳播時存在多種感染方式。

（1）傳統感染。該類病技術性，病毒編寫者通常需要對PE文件格式有比較深入的了解。該類病毒感染的原理是將病毒代碼寫入到目標宿主程序體內，然后修改目標宿主程序的文件頭或者部分程序代碼，使得宿主程序在運行時可以調用病毒代碼的執行。這列病毒感染目標程序之后通常不會改變目標程序的圖標，如果采用空隙式感染則不會增加目標程序的大小（如CIH病毒）。

這類病毒編寫起來難度較大，寫入到目標宿主程序體內的病毒代碼自身要解決變量重新定位、自己搜索API函數地址等關鍵技術。通常這類病毒是使用Win32匯編編寫的。這類計算機病毒在進行病毒清除時也比較困難。

（2）捆綁式感染。這類計算機病毒在感染宿主程序時，會使自身整體直接或者進行壓縮之后放入到目標宿主程序之中，或者將自身代碼覆蓋到目標宿主程序最前面，同時將目標宿主程序直接或者進行壓縮后保存在病毒程序之后。這樣，當目標宿主程序運行時，實際上執行的是計算機病毒程序，為了保證目標程序也可以正常執行，該類計算機病毒會將原始目標程序解壓釋放然后執行。

當然，這類病毒在感染時需要對目標程序的圖標進行提取替換，否則目標程序的圖標就會發生改變。例如，熊貓燒香病毒便是這種感染方式，且被感染之后的PE文件圖標都是一個熊貓圖案。

這類計算機病毒在清除時的難度較前一種感染方式較小。

（3）復制性傳播。這類計算機病毒本身不對任何PE文件進行感染，其通常在目標計算機中保存幾個病毒文件。由于不感染任何文件，因此這類病毒程序必須在操作系統中寫入自啟動項，以便于系統重新啟動之后這些病毒程序可以獲得控制權。這類計算機病毒由于不感染本地主機中的文件，其在進行傳播時通常采用可移動存儲介質或者網絡交互方式進行傳播。

（4）覆蓋式病毒。這類計算機病毒直接對目標PE文件進行覆蓋，如“小浩”病毒。著了計算機病毒沒有什么技術性可言，感染該類計算機病毒之后，原有的被感染文件數據全部或者部分丟失。在對這類計算機病毒進行清除時，直接刪除掉病毒體文件即可。

3 宏病毒

宏是微軟公司出品的Office軟件包中所包含的一項特殊功能。微軟設計此項功能的主要目的是給用戶自動執行一些重復性的工作提供方便。它利用簡單的語法，把常用的動作謝成宏，用戶工作時，就可以直接利用事先編好的宏自動運行，以完成某項特定的任務，而不必反復重復相同的動作。宏是一段類似批處理命令的多行代碼的集合。

宏病毒是使用宏語言編寫的程序，可以在一些數據處理系統中運行，其存在于字處理文檔、數據表格、數據庫和演示文檔等數據文件中，利用宏語言的功能將自己復制并且繁殖到其他的數據文檔里。宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其中的宏就會被執行，于是宏病毒就會被激活，轉移到計算機上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉移到他的計算機上。宏病毒本質上是利用宏語言進行編寫的一些宏，不過這些宏的應用不是為了給人們的工作提供便利，而是會破壞文檔，使人們的工作遭受損失。

雖然不是所有包含宏的文檔都包含了宏病毒，但當有下列情況之一時，您可以百分之百地斷定您的OFFICE文檔或OFFICE系統中有宏病毒：（1）在打開“宏病毒防護功能”的情況下，當您打開一個您自己寫的文檔時，系統會會彈出相應的警告框。而您清楚您并沒有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文檔已經感染了宏病毒。（2）同樣是在打開“宏病毒防護功能”的情況下，您的OFFICE文檔中一系列的文件都在打開時給出宏警告。由于在一般情況下我們很少使用到宏，所以當您看到成串的文檔有宏警告時，可以肯定這些文檔中有宏病毒。（3）如果軟件中關于宏病毒防護選項啟用后，不能在下次開機時依然保存。WORD97中提供了對宏病毒的防護功能，它可以在“工具/選項/常規”中進行設定。但有些宏病毒為了對付OFFICE97中提供的宏警告功能，它在感染系統（這通常只有在您關閉了宏病毒防護選項或者出現宏警告后您不留神選取了“啟用宏”才有可能）后，會在您每次退出 OFFICE時自動屏蔽掉宏病毒防護選項。因此您一旦發現：您的機器中設置的宏病毒防護功能選項無法在兩次啟動WORD之間保持有效，則您的系統一定已經感染了宏病毒。也就是說一系列WORD模板、特別是normal.dot已經被感染。鑒于絕大多數人都不需要或著不會使用“宏”這個功能，我們可以得出一個相當重要的結論：如果您的OFFICE文檔在打開時，系統給出一個宏病毒警告框，那么您應該對這個文檔保持高度警惕，它已被感染的幾率極大。

綜上所述，不管是哪類計算機病毒，對計算機用戶的危害是毋庸置疑的，必須采取行之有效的防護措施，才能確保計算機用戶的安全。因此不僅僅只是靠安裝一個簡單的殺毒軟件就敷衍了事，還需要了解計算機病毒運作的原理，有一些預防病毒的意識。只要我們對各類計算機病毒做到心中有數，就能防范和解決各類計算機病毒了。