文件型病毒工作原理解析

文件型病毒专门攻击扩展名是.com、.exe、.sys和.dll等的可执行文件。因为它感染的是可执行文件,所以它要迟于引导型病毒发生。它的加载、感染和破坏过程同引导型病毒一样。下面以著名的黑色星期五病毒为例为说明它的工作原理。黑色星期五病毒也叫耶路撒冷病毒,它能够使病毒文件增加1813个字节。它有两种破坏方式：一种是使计算机速度降低20%,另一种是删除可执行文件。

1.加载过程

当运行感染了黑色星期五病毒的可执行文件时,现有病毒将获得系统的控制权。病毒立即判断它是否已常驻内存,如果已经常驻内存,则把控制权交给可执行文件,进行正常操作；如果没有,则先把病毒调入内存,然后修改INT 21H中断向量,将其指向病毒程序所在的内存地址,并保存正常的INT 21H中断向量。

修改完毕后,病毒程序判断计算机日期是否是13日,随后再判断是否是星期五,若同时满足这两个条件则置某一特征单元（0EH）为1,否则为0。最后,调用DOS常驻内存功能把病毒体常驻内存,然后把控制权交给可执行文件,执行正常的程序操作。

2.传染过程

黑色星期五病毒加载之后,时刻等待机会准备去传染。它监视INT 21H中断,当用户执行INT 21H的4BH号（4BH号的功能为加载程序功能）功能时,病毒程序获得控制权,它先判断0EH单元的值,如为0则进行感染,若为l则运行发作程序段。

黑色星期五病毒感染扩展名为.com和.exe的可执行文件的机制稍有不同。传染前者时它首先申请64KB内存,若申请成功,则将病毒程序传送到该内存区的前端；其次将原有文件读入内存,紧接病毒程序存放,同时病毒标志“MsDos”追加到原程序尾；最后将这3部分内容统一存盘,并退出病毒传染程序。感染后者时比较复杂,首先修改文件头信息,过程如下：

（1）将文件头控制信息读入自内存4FH开始的1CH个单元中；(www.xing528.com)

（2）将值1984H送入61H单元；

（3）将堆栈段和代码段的入口地址送43H～4AH单元保存；

（4）修改051H～054H单元值,使文件总长度增加710H～71FH中的某一段；

（5）修改5DH～60H和63H～64H值,使其指向程序中的病毒代码入口和其所新设堆栈入口；

（6）将修改后的文件控制头信息写回原文件。完成对EXE文件头控制信息的修改后,传染程序移动文件指针到病毒程序存放处,最后将传染程序在内存中驻留的710H字节病毒存入位于文件结尾处的磁盘存储区,退出病毒传染程序。

3.发作过程

如果0EH值为l,则修改文件属性,然后删除任何一个在计算机上运行的.com或.exe文件,退出发作程序,执行原4BH号功能调用。如果不为1,则病毒程序内部有一个计数器,它对系统调用INT 8H中断的次数进行计数,当计数值为0时,病毒会强迫计算机运行一段无用程序,使系统工作速度减慢。如果计数值为2,则病毒在屏幕上显示一个“长方块”的小窗口。