大東話安全之病毒世界的「千面人」

狡猾「千面人」

小白：Parite 是怎麼搗亂的呢？

大東：Parite 是文件感染型病毒，感染的文件運行後，直接控制病毒生成文件，使其將病毒文件寫為臨時文件並執行它的感染程序，並在硬碟和區域網里的共享目錄里搜索所有.scr和.exe類型的 Win32 PE 格式文件進行感染。

小白：等等等等！這個「共享」，還有「PE」都是些啥呀？

大東：「網路共享」是以計算機等終端設備為載體，藉助互聯網這個面向公眾的社會性組織，進行信息交流和資源共享，並允許他人獲取自己的勞動果實。如果你在此共享網路獲取了可寫許可權，就可以向共享網路中上傳你想分享的文件。

共享網路

而這「PE」呢，是 Portable Executable，可移植性可執行文件，是一種文件格式，主要使用在32位和64位的 Windows 操作系統上。「可移植的」是指該文件格式的通用性，可用於許多不同種類的操作系統中。

小白：噢~您繼續~~

大東：Parite 是一種多態性病毒——病毒世界的「千面人」。這種病毒在每感染一個對象時，採用隨機方法對病毒主體進行加密。

電腦中毒 Parite

小白：厲害了！

大東：第一次運行時，Parite 病毒會創建一個臨時文件，文件名則是隨機的，但都具有同一個特徵。你看看這個例子： C:/WINDOWS/TEMP/epe71F0.TMP，它是由3個隨機字母+4個十六進位隨機數字+.tmp組成。這是一個動態鏈接庫文件，裡邊包含了病毒的主要功能。

小白：這規律都被大東東發現了，那以後它還怎麼混啊~~

大東：此外，病毒會把本地的動態鏈接庫文件貯存在註冊表中，之後再運行時，病毒會附加在 Explorer.exe 文件上，以便駐留於內存之中。

殺 Patrite 我看行

小白：還挺狡猾！那有啥對付的辦法沒有？

大東：病毒會感染本地及其它可以訪問的網路驅動器上的 exe 和 src 文件，直接格式化C盤是無濟於事的。這個病毒會感染別的盤符下所有 exe 文件，所以首先要保證所有盤中的病毒都清除乾淨！

小白：怎麼做？

大東：第一步：下載 Win32.Parite 病毒專殺工具。知道你懶，喏，下載地址接好：http://download.csdn.net/detail/wuxiaokaixinguo/6333233

下載 Win32.Parite 病毒專殺工具

小白：嘿嘿，知我者，大東東者也~~

大東：第二步：運行「流行病毒專殺工具(Spant).exe」文件。

運行專殺工具

第三步：專殺工具查殺完畢後，利用系統急救箱進行系統修復。修復完畢則重啟電腦。

最後，再使用病毒查殺工具進行掃描，確保系統正常，無病毒。

小白：妥妥的~~

四、小白內心說

大東：剛才是不是還有個啥名詞沒解釋？

小白：是的呀，「多態」是啥？

大東：「多態」是指採用特殊加密技術編寫的病毒，這種病毒在每感染一個對象時，採用隨機方法對病毒主體進行加密。多態型病毒主要是針對查毒軟體而設計的，所以隨著這類病毒的增多，查毒軟體的編寫變得更困難，並還會帶來許多的誤報。

小白：專為殺毒軟體而設計！

大東：你這是什麼心態？！多態病毒避免被檢測的方法主要有兩種：使用不固定的密鑰或者隨機數加密病毒代碼，或者在病毒運行的過程中改變病毒代碼，除了這兩種主要的方式外，還有的病毒，例如「炸彈人」通過一些奇怪的指令序列等方法可以實現多態性。

五、話說漫威

大東：小白，看過《X戰警》嗎？

小白：那肯定！沒看過……

大東：那正好，我跟你講講《X戰警》里主要敵對勢力的首領——萬磁王。

萬磁王

小白：小瓜子兒嗑起來~

大東：萬磁王出生於20世紀20年代德國中產階級家庭，是猶太人，幸運地逃過了奧斯威辛集中營的屠殺。

小白：留下不少心理陰影吧！

大東：沒錯，這段經歷使得身為變種人的他對普通人類更加嚴酷。他創辦了變種兄弟會，帶領他們對抗人類。

小白：誒，黑化了！

大東：他還製作了 Parite，一種多態的文件感染型病毒，能夠在本地文件系統和可寫網路共享中，感染 Windows 可執行文件。反過來，受感染的文件會通過執行操作來感染其他文件。

小白：經鑒定，此人需要進化！

來源：中國科學院計算技術研究所

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 中科院之聲 的精彩文章:

※超高彈性超高生物相容性柔性電子研究獲進展
※原位化學氧化修復有機污染土壤的作用機制研究取得進展

TAG:中科院之聲 |