一种文件捆绑型病毒研究
宁 轲
（广西职业技术学院 广西 南宁 530226）

摘 要： 文件捆绑型计算机病毒具有隐蔽性高、传播速度快和破坏力强等特点，早些年出现的威金病毒和熊猫烧香病毒都属于文件捆绑型病毒。本文对文件捆绑型病毒的其中一种模式做了技术上的分析和研究，最后给出了一些识别和防范此类病毒的方法。
     关键词： 计算机病毒；文件捆绑；传播机制
     中图分类号：TP3 文献标识码：A 文章编号：1671－7597（2013）0110227－01

文件捆绑型病毒简单说就是病毒感染了其它文件，如可执行文件、文本文档、图片文件等。并将自己内嵌其中，当用户打开这些文件时，也就同时打开了病毒本身，从而使计算机的所有类似文件都感染了此类病毒。此类病毒隐蔽性高，破坏力极强。早些年肆虐中国互联网的熊猫烧香病毒正因为有文件捆绑这一特点，所以才具备了较强的传播性和破坏力。此类病毒的实现模式众多，本文针对其中的一种常见模式给出分析。

1 病毒的基本构架

此类病毒的基本构架中的主要三个对象为病毒本体、被感染文件（即各种exe文件、图片文件等）和合成的感染文件三类。其中病毒本体的主要任务是感染用户机子上的所有其备染文件，以使得其本身与被感染文件相结合从而形成合成的感染文件，此类文件与正常文件从外观上看毫无区别，也可以正常运行，但在每次运行时都会同时运行文件本身所带的病毒本体，运行病毒本体后，本体又会对机子上未感染的文件继续感染。由此可见，此类病毒的运行机制决定了其难以被清除，而其感染机制又决定了它的快速传播性和破坏力（要删除病毒就必须将正常文件删除）。合成的感染文件内部结构如图所示。

图1 合成的感染文件内部

在合成的感染文件内部，病毒本体处于文件的最上方，当用户打开此文件时，最先被运行的实际上是病毒本体。病毒本体运行后将根据附加在病毒本体最末尾的附加信息（此信息由之前负责感染的病毒本体在感染时添加）释放正常文件并将其运行，在正常文件运行后，病毒本体本身在将自己运行完毕。整个过程中，病毒本体本身都是隐蔽的在后台运行，用户看到的只有正常文件被运行而已。所以，感染了此类病毒的用户每次在打开看似正常的文件时，实际上都运行了一次病毒而毫不知情

2 病毒感染步骤

下面以一个例子来进一步说明整个感染过程。所涉及到的对象有病毒感染本体（将其命名为a.exe）和将被感染的一个正常可执行文件（ 将其命名为b.exe） 、一个正常文本文档（ 将其命名为c.txt） 、一个正常图片文件（ 将其命名为d.jpg）。

在病毒感染本体a,exe被执行后，其第一步将根据一定的遍历规则，遍历机器上的所有文件，根据文件后缀名判断，对于不需要感染的文件则跳过，对于已经被感染的文件也跳过。就本实验而言，exe文件、文本文档和图片jpg文件为其需要感染的文件。在找到b.exe文件后，病毒本体首先会计算b.exe文件的文件长度（以字节计，这里设其长度为5k个字节），记下b.exe的位置信息（如在c盘的abc文件夹里）和其图标类型。然后再从自己本身释放出一个病毒本体副本（设为ab.exe），此副本除了拥有本体感染其它文件的功能外，还必须要有根据附加信息计算截断产生新文件的功能。将之前b.exe文件的长度信息5k个字节和位置信息写入ab.exe文件的末尾中的附加信息部位。最后，a.exe还会根据被感染文件的文件类型，修改ab.exe文件的图标信息，如这里就改成b.exe文件的图标类型，并将更改后的长度等信息再写入附加信息部位。当所有步骤完成后，原有的b.exe文件将被删除，只留下ab.exe文件。至此，感染b.exe文件的过程就算完成了。

此时，ab.exe文件里就含有了a.exe文件和b.exe文件及末尾的附加信息。从外观上看，就跟原来的b.exe文件没有什么区别。在用户执行b.exe文件（此时已被感染）时，ab.exe将最先运行，它会提取附加信息部分封装的信息，如从后往前大概5k个字节左右就是b.exe部分，从此处截断将会提取出真正的b.exe文件，从而将其释放并在原来位置运行。另外它还会根据附加信息，再释放出原来的a.exe文件（即病毒本体）在后台隐蔽运行，从而又开始新一轮的遍历感染。

另外的两个文件（一个txt文件、一个jpg文件）的感染与b.exe基本类似，但也有些不同之处。因为最终感染后的文件ab.exe是一个可执行文件，所以感染了c.txt文件后，其外观图标虽然已经变为文本文档的样子，但其后缀名依旧是exe。同样的， 在感染了d.jpg后， 其外观已经变为图片文件的样子，但其后缀名依也依旧是exe。这一点是此类型病毒无法规避的缺陷，也是用户识别此类病毒的一个重要手段。但此类病毒一般在运行时都会将系统始终选定在不显示后缀名选项，所以用户会发现不论怎么选择，文件的后缀名就是无法显示，如出现这种现象，很有可能感染了此类病毒。

3 病毒传播机制

此类病毒的传播机制比较单一，都是依靠用户执行了感染文件从而获得传播。其本身并不会随系统启动而启动，都必须依靠用户自己去执行看似正常的感染文件。这些文件可能会由用户通过互联网发给其它的机器，也有可能通过U盘等移动介质带到其它机器上执行，从而使越来越多的机子感染。由于其感染时病毒遍历感染本机所有其认可的文件并删除原有文件，所以一旦一个感染文件在本机被执行，机子上的所有其认可的文件都会被感染，而原有文件则不再存在，而是被嵌入到了病毒体本身。这样一来，在某种情况下，用户有时候不得不去打开明知是病毒的感染文件。如被感染文件是用户一个很重要的word文档，里面有很重要的资料信息，如用杀毒软件进行查杀，此文档很有可能会被识别为病毒从而被隔离甚至删除，在这样的情况下，不知情的用户可能从此失去这个重要的文档，而知情的用户就会出现明知是病毒也要打开此文档的情况。所以此类病毒的传播机制虽然很单一，但手段却很高明。

4 病毒识别与防范、补救措施

此类病毒虽然破坏力强，手法也比较隐蔽，但还是有一些识别与防范的方法。首先，用户在使用电脑时要养成打开文件后缀名显示的习惯，这样一来至少在感染非exe文件时，都可以看得出来。因为所有的被感染文件都是exe后缀的，这时候如果突然出现一个外观是图片文件或者是word文档，而其后缀是exe文件的，这种情况下百分之百是一个被感染的文件。只要阻断了病毒的第一次运行，要恢复一个被感染的文件还是比较好办的。其次就是不要随意打开陌生文件，包括陌生的邮件附件，光盘、u盘或各种移动介质中的自己不认识的文件，QQ好友发来的不明文件等，尤其是可执行文件就更加要注意。另外，要注意自己熟悉文件的图标样式，一旦图标外观出现模糊和有异于平时时就应该引起注意。通常被感染的文件的大小也会变大，所以如果发现某个文件突然变得比平时要大，也是该文件被感染的信号。最后，如果真的被感染了，会发现感染瞬间， 机子突然变得很慢，CPU占用率很高， 硬盘也在不停的转，这个时候应该果断重启电脑，这样可以挽救一些文件不被感染。在机子重启后，要及时用相关杀毒软件杀毒查杀，对于暂时无法查杀的，可以隔离被感染的文件，将正常文件及时备份，这样可以将损失降低到最小程度。

5 总结

文件感染型计算机病毒种类多样，本文介绍了其中一种以文件合并形式完成感染的病毒模式并给出了一些防范措施，相信只要认清了此类病毒的传染模式与特征后，是可以降低感染此类病毒的概率的。

参考文献：
[1] 王艳平.Windows程序设计[M].2版.北京：人民邮电出版社，2008.

作者：宁轲
作者单位：广西职业技术学院 广西 南宁 530226

刊名：硅谷
英文刊名：Silicon Valley
年，卷(期)：2013(1)

参考文献(1条)
1.王艳平Windows程序设计 2008
引用本文格式：宁轲一种文件捆绑型病毒研究[期刊论文]-硅谷 2013(1)

出处：http://wenku.baidu.com/view/95e8f97e3169a4517623a308.html