一种文件捆绑型病毒的研究.docVIP

一种文件捆绑型病毒的研究 　　摘 要： 文件捆绑型计算机病毒具有隐蔽性高、传播速度快和破坏力强等特点，早些年出现的威金病毒和熊猫烧香病毒都属于文件捆绑型病毒。本文对文件捆绑型病毒的其中一种模式做了技术上的分析和研究，最后给出了一些识别和防范此类病毒的方法。 　　关键词： 计算机病毒；文件捆绑；传播机制 　　中图分类号：TP3 文献标识码：A 文章编号：1671-7597（2013）0110227-01 　　文件捆绑型病毒简单说就是病毒感染了其它文件，如可执行文件、文本文档、图片文件等。并将自己内嵌其中，当用户打开这些文件时，也就同时打开了病毒本身，从而使计算机的所有类似文件都感染了此类病毒。此类病毒隐蔽性高，破坏力极强。早些年肆虐中国互联网的熊猫烧香病毒正因为有文件捆绑这一特点，所以才具备了较强的传播性和破坏力。此类病毒的实现模式众多，本文针对其中的一种常见模式给出分析。 　　1 病毒的基本构架 　　此类病毒的基本构架中的主要三个对象为病毒本体、被感染文件（即各种exe文件、图片文件等）和合成的感染文件三类。其中病毒本体的主要任务是感染用户机子上的所有其备染文件，以使得其本身与被感染文件相结合从而形成合成的感染文件，此类文件与正常文件从外观上看毫无区别，也可以正常运行，但在每次运行时都会同时运行文件本身所带的病毒本体，运行病毒本体后，本体又会对机子上未感染的文件继续感染。由此可见，此类病毒的运行机制决定了其难以被清除，而其感染机制又决定了它的快速传播性和破坏力（要删除病毒就必须将正常文件删除）。合成的感染文件内部结构如图所示。 　　图1 合成的感染文件内部 　　在合成的感染文件内部，病毒本体处于文件的最上方，当用户打开此文件时，最先被运行的实际上是病毒本体。病毒本体运行后将根据附加在病毒本体最末尾的附加信息（此信息由之前负责感染的病毒本体在感染时添加）释放正常文件并将其运行，在正常文件运行后，病毒本体本身在将自己运行完毕。整个过程中，病毒本体本身都是隐蔽的在后台运行，用户看到的只有正常文件被运行而已。所以，感染了此类病毒的用户每次在打开看似正常的文件时，实际上都运行了一次病毒而毫不知情。 　　2 病毒感染步骤 　　下面以一个例子来进一步说明整个感染过程。所涉及到的对象有病毒感染本体（将其命名为a.exe）和将被感染的一个正常可执行文件（将其命名为b.exe）、一个正常文本文档（将其命名为c.txt）、一个正常图片文件（将其命名为d.jpg）。 　　在病毒感染本体a，exe被执行后，其第一步将根据一定的遍历规则，遍历机器上的所有文件，根据文件后缀名判断，对于不需要感染的文件则跳过，对于已经被感染的文件也跳过。就本实验而言，exe文件、文本文档和图片jpg文件为其需要感染的文件。在找到b.exe文件后，病毒本体首先会计算b.exe文件的文件长度（以字节计，这里设其长度为5k个字节），记下b.exe的位置信息（如在c盘的abc文件夹里）和其图标类型。然后再从自己本身释放出一个病毒本体副本（设为ab.exe），此副本除了拥有本体感染其它文件的功能外，还必须要有根据附加信息计算截断产生新文件的功能。将之前b.exe文件的长度信息5k个字节和位置信息写入ab.exe文件的末尾中的附加信息部位。最后，a.exe还会根据被感染文件的文件类型，修改ab.exe文件的图标信息，如这里就改成b.exe文件的图标类型，并将更改后的长度等信息再写入附加信息部位。当所有步骤完成后，原有的b.exe文件将被删除，只留下ab.exe文件。至此，感染b.exe文件的过程就算完成了。 　　此时，ab.exe文件里就含有了a.exe文件和b.exe文件及末尾的附加信息。从外观上看，就跟原来的b.exe文件没有什么区别。在用户执行b.exe文件（此时已被感染）时，ab.exe将最先运行，它会提取附加信息部分封装的信息，如从后往前大概5k个字节左右就是b.exe部分，从此处截断将会提取出真正的b.exe文件，从而将其释放并在原来位置运行。另外它还会根据附加信息，再释放出原来的a.exe文件（即病毒本体）在后台隐蔽运行，从而又开始新一轮的遍历感染。 　　另外的两个文件（一个txt文件、一个jpg文件）的感染与b.exe基本类似，但也有些不同之处。因为最终感染后的文件ab.exe是一个可执行文件，所以感染了c.txt文件后，其外观图标虽然已经变为文本文档的样子，但其后缀名依旧是exe。同样的，在感染了d.jpg后，其外观已经变为图片文件的样子，但其后缀名依也依旧是exe。这一点是此类型病毒无法规避的缺陷，也是用户识别此类病毒的一个重要手段。但此类病毒一般在运行时都会将系统始终选定在不显示后缀名选项，所以用户会发现不论怎么选择，文件的后缀名就是无