计算机病毒的特征_计算机病毒的预防措施_计算机病毒的危害包含4个方面(26)

除非你重装Windows 95/98系统，免疫才会失效。CIH病毒疫苗不常驻内存，每次开机，系统就会立刻自动执行C：\Windows\CIH.EXE一次，并在系统的存储器DR0做记号，然后结束程序执行。此后，即使再执行带有CIH病毒的程序，病毒也不会常驻内存，因为内存常驻前，病毒会判断免疫程序已经做的记号，病毒会认为自己已经挂在系统中，因此CIH病毒不常驻内存，也不感染文件，更不会发作。 被CIH破坏的ROM BIOS可从主板厂商的网址上下载相应型号主板的BIOS文件，然后用编程器写入。 4.7.2 NATAS拿他死幽灵王变形病毒 Natas/4744/4746 拿他死幽灵王变形病毒有两种，每种都可进行无穷种变形，其代码变化远远超过One-Half 3544幽灵 病毒。该病毒感染软硬盘引导区、.EXE和.COM文件，能在网络中交叉感染文件，感染文件后的病毒代码变化无穷尽，使许多查毒软件产生漏查漏杀现象。该病毒发作时，将硬盘乱格式化，破坏所有文件，所以，该病毒流窜极广，危害极大。 最近，在国内流行一种具有无数次变形能力的二维变形病毒，其名字为“NIGHTFALL末日来临”也称“变形魔术师”病毒。

该病毒专门传染Windows和DOS下的.COM、.EXE文件，其增加字节数也是变化的，一般增加在4500~6000字节之间。染上此毒的机器不能正常运行或经常死机。该病毒每传染一个文件就变化一种样子，变形水平达到了几乎无解的状态。 4.7.3 DIR2-3，DIR2-6，NEW-DIR2/BYWAY-A病毒 PC机中流窜着三种危害很大的DIR2病毒。这些病毒在感染形式和自身结构上与以往引导区型、文件型病毒大不相同。该病毒在硬盘中占据小于33兆硬盘最后一个簇的区域。 但是，对当今快速发展的各种大容量硬盘，该病毒就计算错误，胡乱感染，很难解除。病毒实际上长度为1024、2048字节。病毒通过DIR或其它读写盘命令将当前盘中所有.COM和.EXE文件目录登记项中的首簇修改为病毒认为是磁盘最后一个簇数，这个簇数指向的位置就是病毒在盘中隐藏的位置。如果用无病毒系统软盘引导机器，去查看文件名和字节数，都没变化。再打开染毒盘中的.COM 和.EXE文件看，开头1024、2048、4096字节的文件，其内容全是病毒的代码。如果这时轻易地用备份的.COM和.EXE文件去覆盖硬盘中某个文件，也就是说，将病毒覆盖死，那么这将错上加错。

这时，再查看染毒盘上其它文件内容，都变成了刚覆盖进去的内容，病毒也被覆盖掉了。这样就无法再利用病毒运行其它文件了。 DIR2-3病毒执行时，首先截获系统版本号。如是DOS3.1~4.1系统，病毒正常执行。如是DOS2.1~3.0、DRDOS5.0系统就死机，是DOS5.0以上系统就退出。而新型的DIR2-6、NEW-DIR2/BYWAY-A病毒则只能在DOS5.0以上系统或Windows系统中传染。所以染毒软盘上的文件，在另一机器上被调用时，如果系统版本号不符合病毒的条件，软盘上的文件就不能被执行，这容易被误认为文件坏。如果版本号符合，病毒就进驻内存。如果这时对硬盘DIR或读写时，硬盘将被感染。在染毒环境中，只有在内存中驻有病毒的条件下，才能从硬盘中拷贝.COM或.EXE文件到软盘。同样的条件下才能从软盘拷贝文件到硬盘或另一软盘。否则软盘中的文件只能进行DISKCOPY到另一软盘。这些拷贝都复制了病毒，这是病毒为被广泛传播而设计的一个狡猾恶毒的方式。但该病毒不会在工作站上对网络服务器感染。 杀毒方法： 1 先用无毒系统软盘引导系统，用KV300查出某个.COM或.EXE已染毒的文件。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-27948-26.html