簡介
石頭病毒是一種引導型病毒,該病毒是1988年在紐西蘭首先發現的,1989年下半年傳入我國。用含有大麻病毒的系統盤啟動系統時,有時會在螢幕出現。You PC NowStoned!”的字樣,然後系統可以進入正常,也可能進入死循環,就必須重新啟動,才能進入正常的DOS提示符狀態。系統感染病毒後,如果用CHKDSK檢查記憶體,會發現記憶體容量減少了2K位元組。特別是隨著被感染磁碟上存儲檔案的增加,會產生檔案丟失、目錄區混亂等現象。
石頭病毒可傳染所有的IBM-PC機及286、386等系列機和兼容機,而且和採用的DOS版本無關。當用帶毒的系統盤啟動時,磁碟首先被感染,然後對A驅動器中軟碟只要有一次讀寫操作,就將其感染(只傳A驅動器),屬於一種惡性病毒。
構成
石頭病毒包括引導模組、傳染模組和表現模組3個部分。
當使用帶有石頭病毒的軟碟引導系統時,病毒的引導模組則被調入記憶體。病毒的引導模組調用它自己的傳染模組。
石頭病毒的傳染模組分為兩部分:第一部分用來傳染硬碟,在引導模組執行時被調用;第二部分用來傳染A驅動器中的軟碟。這部分是在調用磁碟操作中斷INTI3H時獲得執行權的。但是,石頭病毒不傳染B驅動器中的軟碟。
石頭病毒的表現模組是在用感染了石頭病毒的磁碟啟動系統時,有八分之一的可能(即時鐘技術後3位為000時)被調用,此時PC喇叭鳴響,螢幕出現“ Your pc is now stoned!"的信息,表明計算機系統已經感染了大麻病毒。
引導過程
在系統啟動時,大麻病毒的病毒程式在正常的系統引導之前,先要初始化自身入口及需要的參數,並將全部病毒程式讀入記憶體,以備執行,然後再去讀正常的引導程式,進行正常系統啟動。整個過程可大致分為
(1)系統啟動,ROM BIOS不經校驗,直接將已占據DOS引導扇區的病毒程式讀入記憶體的0000:7C00H位置,並開始執行;
(2)病毒程式修改INTI3H入口地址,它將INTI3H的入口地址保存到0000:7C09H至0000:C0CH處;
(3)將病毒程式移到記憶體高端的2K的空間,並將系統的記憶體容量減去2K,以保護病毒程式長期駐留記憶體;
(4)修改磁碟中斷INT13H的中斷向量,使其指向病毒程式傳染部分的入口,以便在讀寫磁碟操作時進行傳染
(5)將正常的引導程式讀到記憶體0000:7C00H處,若是硬碟啟動,則讀入的是轉儲在0磁0柱面7扇區中的主引導程式和分區表;若是軟碟啟動,則讀入的是存在1面0道3扇區中的DOS引導程式,把控制權交給正常主引導程式或DOS引導程式,進行系統的正常引導。
傳染過程
大麻病毒的傳染模組的第一部分傳染硬碟。它對硬碟的傳染只在啟動時進行,一旦啟動完畢,它就只傳染軟碟。如果用帶有大麻病毒的軟碟啟動系統時,若硬碟沒有被傳染,則傳染硬碟。
大麻病毒傳染硬碟的過程是首先讀入硬碟的第一扇區,然後把第一扇區與病毒程式的前4個位元組進行比較,若前4個位元組相同,為EAO50000,則說明硬碟已被傳染,不再進行重複傳染。否則,說明硬碟尚未染上病毒而將被傳染。
大麻病毒對硬碟進行傳染時,首先將硬碟的主引導扇區的內容保存到0磁頭0柱面7扇區,然後把硬碟的分區表移到記憶體高端病毒程式的後面,再把病毒程式和原硬碟分區表一起寫到硬碟的第1扇區(主引導扇區)處。最後,將控制杈交還給正常的DOS引導程式。大麻病毒傳染模組的第二部分傳染軟碟。當病毒駐留記憶體後,由於病毒程式已截獲了中斷INT13H,因而在讀寫軟碟操作時,首先執行病毒程式的傳染部分。大麻病毒傳染部分首先判斷是否所讀的盤為A盤,然後判斷A盤是否已傳染過大麻病毒。同樣是通過比較A盤引導區的前4個位元組是否為EA05000來判斷。如果不是,則進行傳染,首先,將A盤的引導區寫入A盤0道1面3扇區,然後將大麻病毒程式本身寫入A盤的引導扇區,使A盤染上病毒。傳染完成後病毒才執行正常的INTI3H中斷程式。
存儲方式
石頭病毒的表現形式不明顯,因此難以發現。石頭病毒屬於惡性病毒,它在軟碟和硬碟上存儲方式不一樣。
對軟碟而言,病毒程式存儲在0面0道1扇區,並將原引導扇區的內容移到軟碟的1面0道3扇區。
對硬碟而言,病毒程式存放在硬碟的第一物理扇區,即硬碟的主引導南區。石頭病毒侵入硬碟以後,將原主引導扇區的內容移到了0柱面0磁軌第7扇區內。由於普通格式化不能改變硬碟主引導區,因此,對硬碟進行普通的格式化,仍不能消除硬碟上的大麻病毒。
用戶在採用消毒軟體清除軟碟、硬碟上的大麻病毒時,必須確保對軟碟、硬碟上的數據無破壞作用,並且對大麻病毒進行徹底的消除。
破壞作用
石頭病毒侵入計算機系統後,會造成較嚴重的破壞作用,其現象有:
(1)檔案丟失;
(2)檔案被破壞或檔案殘缺不全;
(3)機器不能啟動;
(4)啟動速度明顯減慢。
大麻病毒程式中並沒有獨立的破壞模組,其破壞作用主要是傳染病毒時,病毒程式本身侵占磁碟的引導扇區,而將原引導區遷移所造成的。
