1575病毒,也称毛毛虫病毒,属于PC-DOS系统支持的IBM PC系列微机上的文件型病毒,该病毒仅传染可执行文件(.EXE或.COM文件),并随被传染文件的执行而常驻内存。如果一个程序在刚运行时,屏幕上出现来回爬动的“毛毛虫”,使屏幕上的字符错位,并且用DIR命令查看目录文件时,发现有些可执行文件的字节长度增大约1575个字节,日期改变,出现上述情况时,就可判断该程序已染上1575病毒。由于1575病毒的潜伏期比较长(两个月),在不到两个月时,文件正常执行,不显示“毛毛虫”,只要留心观察,把无病毒的系统盘上的可执行文件拷进来,再用DIR命令查看此文件时,会发现文件的长度、日期改变,此现象表明,系统可能已染上1575病毒。
定义1575病毒属于外壳型病毒,它降低了计算机的时间效率,减少了计算机的可利用存贮空间。这种病毒依附于任何执行程序(文件类型为.EXE和.COM文件)中。以后我们称依附了病毒的程序为带毒程序,并把带毒程序划分为二个部分:病毒程序和正体程序。正体程序是指未染病毒的原程序。1575病毒程序有很厉害的设计技巧,它使用了反跟踪技术,不允许用户用debug调试程序作跟踪分析,否则将造成死机;它的执行次序采用隐蔽式跳转,增加了用户解剖分析的难度。虽然如此,还是生产出了消除这种病毒的软件。但是这类软件对病毒未作彻底根除,也没有提供免疫能力,消除后又会被立即感染。
工作原理在带毒程序中,病毒程序的运行级别高于正体程序,因而当计算机执行带毒程序时,首先激发病毒程序工作。工作内容主要包括:
利用最高级别的DOS中断口设置跟踪陷阱,防止用户跟踪分析。
利用系统紧急错误处理中断,屏蔽DOS的错误报警,使感染在隐蔽状态下进行。
感染硬盘上的命令处理程序COMMN.COM,该程序是DOS的外壳、用户与计算机的界面。
感染系统。21H号中断是系统功能请求中断。病毒程序把自己装入到机器的可用RAM区的最高端并长期占用,因此它将内存容量减少2K,再修改21H号中断向量,即把病毒程序嵌入21H号中断处理程序的前沿,从而使系统染上病毒。21H号中断使用的频繁性使得这种病毒被广泛传播到其它程序中。
交还控制权。即转入正体程序执行1。
病毒传播如果系统感染了1575病毒,系统就具有传播它的能力了,以后只要进行搜寻目录项的操作,则被搜寻的目录项所指示的文件就会感染上这种病毒。例如,在系统提示符下,使用列目录清单命令DIR命令,则所列目录项中的可执行文件就要染上1575病毒。用户和系统作搜寻目录项的操作极其频繁,因此1575病毒的传播速度极快传播工作是由有毒的21H号中断处理程序完成的。如果系统程序或用户程序调用21H号中断的罩磁盘传送地址的功能(即1AH号功能请求),则截获其传送地址并保存,若是寻找第一目录项或寻找下一目录项的功能(功能号为11H和12H工,、则查看传送地址中指定的文件是否染毒,未染则根据文件类型.EXE或.COM对文件作相应染毒,否则返回。21H号中断的其他功能保持原样。染毒限制在.EXE和.COM文件上进行。
常见病毒类型文件型病毒
文件型病毒是指能够寄生于文件的病毒,文件包括.COM、.EXE可执行文件以及.DOC等文档,当执行文件的时候病毒会首先运行。早期的1575/1591病毒,以及最近的Win32.Xorala(劳拉)病毒都属于文件型病毒。如果集中系统引导型病毒和文件型病毒共有的特点,那可以称之为复合型病毒。
系统引导型病毒
这类病毒隐藏在硬盘或软盘的引导区,当计算机从感染了引导区病毒的硬盘或软盘启动,或当计算机从受感染的软盘中读取数据时,引导区病毒就开始发作。一旦它们将自己拷贝到机器的内存中,马上就会感染其他磁盘的引导区,或通过网络传播到其他计算机上。早期出现的大麻病毒、小球病毒就属此类。
宏病毒
这是一种特殊的文件型病毒,由于宏功能的强大,一些软件开发商在产品研发中引入宏语言,并允许这些产品在生成载有宏的数据文件之后出现。宏病毒就是主要利用Microsoft Word提供的宏功能来将病毒驻进到带有宏的.DOC文档中,病毒的传输速度很快,对系统和文件都可以造成破坏。
脚本病毒
脚本病毒依赖一种特殊的脚本语言(如:VB-Script、JavaScript等)起作用,同时需要主软件或应用环境能够正确识别和翻译这种脚本语言中嵌套的命令。脚本病毒在某方面与宏病毒类似,但脚本病毒可以在多个产品环境中进行,还能在其他所有可以识别和翻译它的产品中运行。脚本语言比宏语言更具有开放终端的趋势,这样使得病毒制造者对感染脚本病毒的机器可以有更多的控制力。
“网络蠕虫”病毒
“网络蠕虫”病毒是一种通过间接方式复制自身非感染型病毒,是互联网上危害极大的病毒,该病毒主要借助于计算机对网络进行攻击,传播速度非常快。有些网络蠕虫拦截E- mail系统向世界各地发送自己的复制品;有些则在高速下载站点中出现同时使用两种方法与其它技术传播自身。它的传播速度相当惊人,成千上万的病毒感染造成众多邮件服务器先后崩溃,给人们带来难以弥补的损失。比如“冲击波”病毒可以利用系统的漏洞让计算机重启,无法上网,而且可以不断复制,造成计算机和网络的瘫痪。
“特洛伊木马”病毒
特洛伊木马程序通常是指伪装成合法软件的非感染型病毒,主要用于窃取远程计算机上的各种信息(比如各种登录账号、机密文件等等),对远程计算机进行控制,但它不进行自我复制。有些木马可以模仿运行环境,收集所需的信息,最常见的木马便是试图窃取用户名和密码的登录窗口,或者试图从众多的Internet服务器提供商(ISP)盗窃用户的注册信息和账号信息。比如网络神偷等2。
本词条内容贡献者为:
王慧维 - 副研究员 - 西南大学