摘 要：介紹了目前WINDOWS下的幾類主要的病毒，他們的危害及實(shí)現(xiàn)原理等，使計(jì)算機(jī)使用者對(duì)這些病毒有個(gè)大致的了解，加強(qiáng)對(duì)這類病毒的防范意識(shí)。

關(guān)鍵詞：病毒 傳播 變形 執(zhí)行

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2012）11（a）-0016-02

有關(guān)計(jì)算機(jī)病毒這方面的論文很多，大多數(shù)文章都談到了計(jì)算機(jī)病毒產(chǎn)生的根源、特征、傳播途徑、攻擊方式、中毒癥狀已經(jīng)如何防范。而我今天要談的是WINDOWS環(huán)境下的幾種常見計(jì)算機(jī)病毒他們是什么原理編寫，如何編寫，危害以及如何防范此類病毒。

1 腳本病毒

腳本病毒通常是基于VB Script和Java Script腳本語(yǔ)言編寫的惡意代碼，利用.asp、.htm、.html、.vbs和.js等類型的文件進(jìn)行傳播，由MsWindowsScriptHost腳本宿主解釋執(zhí)行的一類病毒。一般帶有廣告性質(zhì)，會(huì)修改您的IE首頁(yè)、修改注冊(cè)表等信息，造成用戶使用計(jì)算機(jī)不方便用腳本編寫的病毒簡(jiǎn)單，具有傳播快，破壞力大的特點(diǎn)。

腳本病毒種類比較多，比較常見的是VBS腳本病毒。

VBS病毒使用VBScript編寫而成，該腳本語(yǔ)言功能非常強(qiáng)大，他們利用Windows對(duì)象、組件，可以直接對(duì)文件系統(tǒng)、注冊(cè)表等進(jìn)行控制。可以說(shuō)，病毒實(shí)際上就是一種構(gòu)思，但是這種構(gòu)思在用VBS實(shí)現(xiàn)時(shí)變得極其容易。

腳本病毒具備如下特點(diǎn)。

（1）編寫簡(jiǎn)單。一個(gè)對(duì)病毒一無(wú)所知的計(jì)算機(jī)使用者也可以在很短的時(shí)間里編出一個(gè)新型病毒來(lái)。

（2）破壞力大。其破壞力不僅表現(xiàn)在對(duì)文件系統(tǒng)及機(jī)器性能的破壞，還可以使郵件服務(wù)器崩潰，網(wǎng)絡(luò)發(fā)生嚴(yán)重阻塞。

（3）感染力強(qiáng)。由于腳本是直接解釋執(zhí)行，并且它不需要像PE病毒那樣做復(fù)雜的PE文件字段處理，因此這類病毒可以直接解釋執(zhí)行，并且自我的異常處理變得非常容易。

（4）傳播范圍大。這類病毒還可以通過(guò)HTM和ASP等網(wǎng)頁(yè)文件、E-mail附件、KaZaA等網(wǎng)絡(luò)共享工具和IRC傳播，可以在很短時(shí)間內(nèi)傳遍世界各地。

（5）病毒源碼容易被獲取，變種多。由于VBA病毒解釋執(zhí)行，其源代碼可讀性非常強(qiáng)，即使病毒源碼經(jīng)過(guò)加密處理后，其源代碼的獲得還是比較簡(jiǎn)單。因此，這類病毒變種比較多，稍微改變一下病毒的結(jié)構(gòu)，或者修改以下特征值，很多殺毒軟件可能就無(wú)能為力了。

（6）欺騙性強(qiáng)。腳本病毒為了得到運(yùn)行機(jī)會(huì)，往往會(huì)采用各種讓用戶不大注意的手段，例如，郵件的附件名采用雙后綴，如.jps.vbs。由于系統(tǒng)默認(rèn)不顯示后綴，這樣，用戶看到這個(gè)文件時(shí)，就會(huì)認(rèn)為它是一個(gè)jpg圖片文件。

（7）是病毒生產(chǎn)機(jī)實(shí)現(xiàn)起來(lái)非常容易。所謂病毒生產(chǎn)機(jī)，就是可以按照用戶的要求進(jìn)行配置以生成特定病毒的機(jī)器。目前的病毒生產(chǎn)機(jī)之所以大多數(shù)都為腳本病毒生產(chǎn)機(jī)，其中最重要的一點(diǎn)還是因?yàn)槟_本采用解釋執(zhí)行的方式，實(shí)現(xiàn)起來(lái)非常容易。

歡樂時(shí)光是一個(gè)典型的VB源程序病毒，專門感染.htm、.html、.vbs、.asp和.htt文件。它作為電子郵件的附件，并利用Outlook Express的性能缺陷把自己傳播出去，利用一個(gè)被人們所知的Microsoft Outlook Express的安全漏洞，可以在你沒有運(yùn)行任何附件時(shí)就運(yùn)行自己。還利用Outlook Express的信紙功能，使自己復(fù)制在信紙的Html模板上，以便傳播。這和“Wscript.KakWorm”病毒很相似，當(dāng)你發(fā)信出去時(shí)，“歡樂時(shí)光”的源病毒隱藏在HTML文件上。只要你在Outlook Express上預(yù)覽了隱藏有病毒的HTML文件，甚至你都不用打開它，它就能感染你的電腦。歡樂時(shí)光危害的根源在于微軟的腳本宿主（MsWindows

ScriptHost）。MicrosoftWindows腳本宿主（WSH）是這樣一個(gè)工具── 它使得用戶可以在Windows操作系統(tǒng)上在本機(jī)運(yùn)行VBScript和JScript。使用用戶所熟知的腳本語(yǔ)言，就可以書寫腳本來(lái)使普通任務(wù)自動(dòng)化，并創(chuàng)建功能強(qiáng)大的宏和登錄腳本。它還利用了類型庫(kù)（Type？Library）成功地避開了安全審核，并采用了“愛蟲”的FileSystem

Object（文件系統(tǒng)對(duì)象）的技術(shù)，這也幾乎是所有VBS郵件病毒必不可少的部分。因此如果殺毒軟件監(jiān)視所有Html和Vbs中的FileSystemObject關(guān)鍵字，幾乎可以查出所有和潛在的變種。如果僅監(jiān)視關(guān)鍵字，如“愛蟲”的“I？love？you”，“歡樂時(shí)光”的“Happy？Time”，造毒者只要將其改掉即可，再將郵件標(biāo)題、內(nèi)容和源碼中的變量名替換一下，具有“智能查毒”的殺毒軟件們也只有裝聾作啞，望毒興嘆了。

2 windows PE 病毒

windows PE病毒是Win32環(huán)境自身所帶的執(zhí)行體文件格式，它的一些特性繼承自UNIX的common object file format文件格式。它保留了MZ文件頭以便于運(yùn)行于DOS，在win重廣泛存在，除了.dll和VXD格式不屬于這個(gè)格式，可以在安全模式下刪除，危害和一般病毒一樣，通過(guò)修改可執(zhí)行文件的代碼重程序入口地址，變成病毒的程序入口，導(dǎo)致運(yùn)行程序時(shí)啟動(dòng)病毒文件，如果感染，安全模式下刪除就沒事了。PE病毒在進(jìn)行文件感染或網(wǎng)絡(luò)傳播時(shí)存在多種感染方式。

（1）傳統(tǒng)感染。該類病技術(shù)性，病毒編寫者通常需要對(duì)PE文件格式有比較深入的了解。該類病毒感染的原理是將病毒代碼寫入到目標(biāo)宿主程序體內(nèi)，然后修改目標(biāo)宿主程序的文件頭或者部分程序代碼，使得宿主程序在運(yùn)行時(shí)可以調(diào)用病毒代碼的執(zhí)行。這列病毒感染目標(biāo)程序之后通常不會(huì)改變目標(biāo)程序的圖標(biāo)，如果采用空隙式感染則不會(huì)增加目標(biāo)程序的大?。ㄈ鏑IH病毒）。

這類病毒編寫起來(lái)難度較大，寫入到目標(biāo)宿主程序體內(nèi)的病毒代碼自身要解決變量重新定位、自己搜索API函數(shù)地址等關(guān)鍵技術(shù)。通常這類病毒是使用Win32匯編編寫的。這類計(jì)算機(jī)病毒在進(jìn)行病毒清除時(shí)也比較困難。

（2）捆綁式感染。這類計(jì)算機(jī)病毒在感染宿主程序時(shí)，會(huì)使自身整體直接或者進(jìn)行壓縮之后放入到目標(biāo)宿主程序之中，或者將自身代碼覆蓋到目標(biāo)宿主程序最前面，同時(shí)將目標(biāo)宿主程序直接或者進(jìn)行壓縮后保存在病毒程序之后。這樣，當(dāng)目標(biāo)宿主程序運(yùn)行時(shí)，實(shí)際上執(zhí)行的是計(jì)算機(jī)病毒程序，為了保證目標(biāo)程序也可以正常執(zhí)行，該類計(jì)算機(jī)病毒會(huì)將原始目標(biāo)程序解壓釋放然后執(zhí)行。

當(dāng)然，這類病毒在感染時(shí)需要對(duì)目標(biāo)程序的圖標(biāo)進(jìn)行提取替換，否則目標(biāo)程序的圖標(biāo)就會(huì)發(fā)生改變。例如，熊貓燒香病毒便是這種感染方式，且被感染之后的PE文件圖標(biāo)都是一個(gè)熊貓圖案。

這類計(jì)算機(jī)病毒在清除時(shí)的難度較前一種感染方式較小。

（3）復(fù)制性傳播。這類計(jì)算機(jī)病毒本身不對(duì)任何PE文件進(jìn)行感染，其通常在目標(biāo)計(jì)算機(jī)中保存幾個(gè)病毒文件。由于不感染任何文件，因此這類病毒程序必須在操作系統(tǒng)中寫入自啟動(dòng)項(xiàng)，以便于系統(tǒng)重新啟動(dòng)之后這些病毒程序可以獲得控制權(quán)。這類計(jì)算機(jī)病毒由于不感染本地主機(jī)中的文件，其在進(jìn)行傳播時(shí)通常采用可移動(dòng)存儲(chǔ)介質(zhì)或者網(wǎng)絡(luò)交互方式進(jìn)行傳播。

（4）覆蓋式病毒。這類計(jì)算機(jī)病毒直接對(duì)目標(biāo)PE文件進(jìn)行覆蓋，如“小浩”病毒。著了計(jì)算機(jī)病毒沒有什么技術(shù)性可言，感染該類計(jì)算機(jī)病毒之后，原有的被感染文件數(shù)據(jù)全部或者部分丟失。在對(duì)這類計(jì)算機(jī)病毒進(jìn)行清除時(shí)，直接刪除掉病毒體文件即可。

3 宏病毒

宏是微軟公司出品的Office軟件包中所包含的一項(xiàng)特殊功能。微軟設(shè)計(jì)此項(xiàng)功能的主要目的是給用戶自動(dòng)執(zhí)行一些重復(fù)性的工作提供方便。它利用簡(jiǎn)單的語(yǔ)法，把常用的動(dòng)作謝成宏，用戶工作時(shí)，就可以直接利用事先編好的宏自動(dòng)運(yùn)行，以完成某項(xiàng)特定的任務(wù)，而不必反復(fù)重復(fù)相同的動(dòng)作。宏是一段類似批處理命令的多行代碼的集合。

宏病毒是使用宏語(yǔ)言編寫的程序，可以在一些數(shù)據(jù)處理系統(tǒng)中運(yùn)行，其存在于字處理文檔、數(shù)據(jù)表格、數(shù)據(jù)庫(kù)和演示文檔等數(shù)據(jù)文件中，利用宏語(yǔ)言的功能將自己復(fù)制并且繁殖到其他的數(shù)據(jù)文檔里。宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開這樣的文檔，其中的宏就會(huì)被執(zhí)行，于是宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動(dòng)保存的文檔都會(huì)“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移到他的計(jì)算機(jī)上。宏病毒本質(zhì)上是利用宏語(yǔ)言進(jìn)行編寫的一些宏，不過(guò)這些宏的應(yīng)用不是為了給人們的工作提供便利，而是會(huì)破壞文檔，使人們的工作遭受損失。

雖然不是所有包含宏的文檔都包含了宏病毒，但當(dāng)有下列情況之一時(shí)，您可以百分之百地?cái)喽腛FFICE文檔或OFFICE系統(tǒng)中有宏病毒：（1）在打開“宏病毒防護(hù)功能”的情況下，當(dāng)您打開一個(gè)您自己寫的文檔時(shí)，系統(tǒng)會(huì)會(huì)彈出相應(yīng)的警告框。而您清楚您并沒有在其中使用宏或并不知道宏到底怎么用，那么您可以完全肯定您的文檔已經(jīng)感染了宏病毒。（2）同樣是在打開“宏病毒防護(hù)功能”的情況下，您的OFFICE文檔中一系列的文件都在打開時(shí)給出宏警告。由于在一般情況下我們很少使用到宏，所以當(dāng)您看到成串的文檔有宏警告時(shí)，可以肯定這些文檔中有宏病毒。（3）如果軟件中關(guān)于宏病毒防護(hù)選項(xiàng)啟用后，不能在下次開機(jī)時(shí)依然保存。WORD97中提供了對(duì)宏病毒的防護(hù)功能，它可以在“工具/選項(xiàng)/常規(guī)”中進(jìn)行設(shè)定。但有些宏病毒為了對(duì)付OFFICE97中提供的宏警告功能，它在感染系統(tǒng)（這通常只有在您關(guān)閉了宏病毒防護(hù)選項(xiàng)或者出現(xiàn)宏警告后您不留神選取了“啟用宏”才有可能）后，會(huì)在您每次退出 OFFICE時(shí)自動(dòng)屏蔽掉宏病毒防護(hù)選項(xiàng)。因此您一旦發(fā)現(xiàn)：您的機(jī)器中設(shè)置的宏病毒防護(hù)功能選項(xiàng)無(wú)法在兩次啟動(dòng)WORD之間保持有效，則您的系統(tǒng)一定已經(jīng)感染了宏病毒。也就是說(shuō)一系列WORD模板、特別是normal.dot已經(jīng)被感染。鑒于絕大多數(shù)人都不需要或著不會(huì)使用“宏”這個(gè)功能，我們可以得出一個(gè)相當(dāng)重要的結(jié)論：如果您的OFFICE文檔在打開時(shí)，系統(tǒng)給出一個(gè)宏病毒警告框，那么您應(yīng)該對(duì)這個(gè)文檔保持高度警惕，它已被感染的幾率極大。

綜上所述，不管是哪類計(jì)算機(jī)病毒，對(duì)計(jì)算機(jī)用戶的危害是毋庸置疑的，必須采取行之有效的防護(hù)措施，才能確保計(jì)算機(jī)用戶的安全。因此不僅僅只是靠安裝一個(gè)簡(jiǎn)單的殺毒軟件就敷衍了事，還需要了解計(jì)算機(jī)病毒運(yùn)作的原理，有一些預(yù)防病毒的意識(shí)。只要我們對(duì)各類計(jì)算機(jī)病毒做到心中有數(shù)，就能防范和解決各類計(jì)算機(jī)病毒了。