一种文件捆绑型病毒研究

一种文件捆绑型病毒研究
宁 轲
（广西职业技术学院 广西 南宁 530226）

1 病毒的基本构架

      此类病毒的基本构架中的主要三个对象为病毒本体、被感染文件（即各种exe文件、图片文件等）和合成的感染文件三类。其中病毒本体的主要任务是感染用户机子上的所有其备染文件，以使得其本身与被感染文件相结合从而形成合成的感染文件，此类文件与正常文件从外观上看毫无区别，也可以正常运行，但在每次运行时都会同时运行文件本身所带的病毒本体，运行病毒本体后，本体又会对机子上未感染的文件继续感染。由此可见，此类病毒的运行机制决定了其难以被清除，而其感染机制又决定了它的快速传播性和破坏力（要删除病毒就必须将正常文件删除）。合成的感染文件内部结构如图所示。

图1 合成的感染文件内部

      在合成的感染文件内部，病毒本体处于文件的最上方，当用户打开此文件时，最先被运行的实际上是病毒本体。病毒本体运行后将根据附加在病毒本体最末尾的附加信息（此信息由之前负责感染的病毒本体在感染时添加）释放正常文件并将其运行，在正常文件运行后，病毒本体本身在将自己运行完毕。整个过程中，病毒本体本身都是隐蔽的在后台运行，用户看到的只有正常文件被运行而已。所以，感染了此类病毒的用户每次在打开看似正常的文件时，实际上都运行了一次病毒而毫不知情

2 病毒感染步骤

      此时，ab.exe文件里就含有了a.exe文件和b.exe文件及末尾的附加信息。从外观上看，就跟原来的b.exe文件没有什么区别。在用户执行b.exe文件（此时已被感染）时，ab.exe将最先运行，它会提取附加信息部分封装的信息，如从后往前大概5k个字节左右就是b.exe部分，从此处截断将会提取出真正的b.exe文件，从而将其释放并在原来位置运行。另外它还会根据附加信息，再释放出原来的a.exe文件（即病毒本体）在后台隐蔽运行，从而又开始新一轮的遍历感染。

3 病毒传播机制

      此类病毒的传播机制比较单一，都是依靠用户执行了感染文件从而获得传播。其本身并不会随系统启动而启动，都必须依靠用户自己去执行看似正常的感染文件。这些文件可能会由用户通过互联 发给其它的机器，也有可能通过U盘等移动介质带到其它机器上执行，从而使越来越多的机子感染。由于其感染时病毒遍历感染本机所有其认可的文件并删除原有文件，所以一旦一个感染文件在本机被执行，机子上的所有其认可的文件都会被感染，而原有文件则不再存在，而是被嵌入到了病毒体本身。这样一来，在某种情况下，用户有时候不得不去打开明知是病毒的感染文件。如被感染文件是用户一个很重要的word文档，里面有很重要的资料信息，如用杀毒软件进行查杀，此文档很有可能会被识别为病毒从而被隔离甚至删除，在这样的情况下，不知情的用户可能从此失去这个重要的文档，而知情的用户就会出现明知是病毒也要打开此文档的情况。所以此类病毒的传播机制虽然很单一，但手段却很高明。

4 病毒识别与防范、补救措施

      此类病毒虽然破坏力强，手法也比较隐蔽，但还是有一些识别与防范的方法。首先，用户在使用电脑时要养成打开文件后缀名显示的习惯，这样一来至少在感染非exe文件时，都可以看得出来。因为所有的被感染文件都是exe后缀的，这时候如果突然出现一个外观是图片文件或者是word文档，而其后缀是exe文件的，这种情况下百分之百是一个被感染的文件。只要阻断了病毒的第一次运行，要恢复一个被感染的文件还是比较好办的。其次就是不要随意打开陌生文件，包括陌生的邮件附件，光盘、u盘或各种移动介质中的自己不认识的文件，QQ好友发来的不明文件等，尤其是可执行文件就更加要注意。另外，要注意自己熟悉文件的图标样式，一旦图标外观出现模糊和有异于平时时就应该引起注意。通常被感染的文件的大小也会变大，所以如果发现某个文件突然变得比平时要大，也是该文件被感染的信 。最后，如果真的被感染了，会发现感染瞬间， 机子突然变得很慢，CPU占用率很高， 硬盘也在不停的转，这个时候应该果断重启电脑，这样可以挽救一些文件不被感染。在机子重启后，要及时用相关杀毒软件杀毒查杀，对于暂时无法查杀的，可以隔离被感染的文件，将正常文件及时备份，这样可以将损失降低到最小程度。

5 总结

参考文献：
[1] 王艳平.Windows程序设计[M].2版.北京：人民邮电出版 ，2008.

刊名：硅谷
英文刊名：Silicon Valley
年，卷(期)：2013(1)

出处：http://wenku.baidu.com/view/95e8f97e3169a4517623a308.html

相关资源：TranslationLoaderBundle:具有数据库翻译加载器的Symfony2捆绑软件