小编了解到,在各种病毒中,PE病毒数目最大,传播最广,破坏力最强。因为,pe文件病毒的危害性很大的。
PE病毒具有以下特征:
(1)具有感染性。该类病毒通过感染普通PE.EXE文件并把自己的代码加到EXE文件的尾部,修改原程序的入口点以指向病毒体,病毒本身没有什么危害,但是被感染的文件可能被破坏而不能正常运行。
(2)潜伏性。指病毒依附于其他文件而存在,即通过修改其他程序而把自身的复制品嵌入到其他程序中。
(3)可触发性。即在一定的条件下激活这类病毒的感染机制使之进行感染。
(4)破坏性。病毒一旦感染其他文件,病毒本身没什么危害,但是会导致被感染的文件丢失数据或被破坏而不能正常运行。
最后,佰佰安全网友情提醒,清除PE病毒不光是去除病毒程序,或使病毒程序不能进行,还要尽可能恢复系统或文件本来面目,以将损失减少至最低程度。清除PE病毒的过程其实可以看作病毒感染宿主程序的逆过程,只要搞清楚病毒的感染机理,清除病毒其实是很容易的。事实上每一种病毒,甚至是每一个病毒的变种,它们的清除方式可能都是不一样的,所有清除病毒时,一定要针对具体的病毒来进行。
小编了解到,常见的PE文件病毒有以下几种。
①Win32.Tenga
Win32.Tenga是一个WIN32PE感染性病毒,可以感染普通PE EXE文件并找到自己的代码加到EXE文件的尾部、修改原程序的入口点以指向病毒体。该病毒本身没有什么危害,但是被感染的文件可能被破坏而不能正常运行。另外,该病毒还可以感染正常的EXE文件,使其不停的被复制,即使主机中安装有防火墙和杀毒软件也都无法阻止该病毒。
②Win16.HLLP.Hiro.10240
Win16.HLLP.Hiro.10240是利用Pascal编写的病毒,不会贮存内存中,包含“Hiroshima end 000v1.2000:0000”字符串。该病毒在windows目录中寻找.exe文件并将其复制到开始文件夹中。可以在以下目录中查找“Hiro”文件:
小编了解到,PE文件病毒一般采用嵌入宿主程序的方式来进行传染,利用PE文件中的空隙或增加一节方法栖身于PE文件中,并将程序入口点指向病毒代码,当文件执行时首先执行该病毒,然后执行宿主程序,其原理与DOS下病毒大同小异,但具体实现方法有许多创新。
pe文件病毒的传播方式有:盗板光盘、软盘、安全性不佳的共享网络等。
PE病毒常见的感染其他文件的方法是在文件中添加一个新节,然后往该新节中添加病毒代码和病毒执行后的返回Host程序的代码,并修改文件头中代码开始执行位置(AddressOfEntryPoint)指向新添加的病毒节的代码入口,以便程序运行后先执行病毒代码。下面以CIH病毒为例具体分析病毒感染过程:
小编了解到,pe文件病毒可以在安全模式下删除。
凡是PE文件型病毒,都要寻找一个可执行文件的宿主,当可执行文件被感染时,其表现症状为文件长度增加或文件头部信息被修改、文件目录表中信息被修改、文件长度不变而内部信息被修改等。
针对这种症状提出一种预防PE文件型的方法。在源程序中增加自检及清除病毒的功能。这种方法的优点是可执行文件从生成起,就有抗病毒的能力,从而可以保证可执行文件的干净。自检清除功能部分和可执行文件的其他部分融为一体,不会和程序的其他功能才冲突,也是病毒制造者无法造出针对性的病毒。可执行文件染不上病毒,PE文件型病毒就无法传播了。
预防PE文件型病毒方法的核心就是使可执行文件具有自检功能,在被加载时检测本身的几项指标——文件长度、文件头部信息、文件内部抽样信息、文件目录表中有关信息。其实现的过程是在使用汇编语言或其他高级语言时,先把上述有关的信息定义为若干大小固定的几个变量,给每个变量先赋一个值,待汇编或编译之后,根据可执行文件中的有关信息,把源程序中的有关变量进行修改,再重新汇编或编译,就得到了所需的可执行文件。
