黑色星期五

電腦文件型病毒

黑色星期五是一種文件型病毒,它是個早在1987年秋天就被發現的老牌PC機病毒,流傳最廣,變種很多,基於其發展出來的其他病毒也最多。

名稱來源


黑色星期五的名稱源自最初次病毒會在感染文件中留下類似計時的代碼,只要每個月13號是星期五病毒就會發作,由於其特性使其在當時沒發現其特徵之前得到大量複製,而且感染PC也沒有破壞性的標示。但是每月13號只要是星期五就會集體發作,發作時全部感染者會黑屏,由於其影響力大。後人便把這種病毒稱為黑色星期五。

工作方式


文件型病毒與其他病毒如引導區型病毒工作的方式是完全不同的,在各種PC機病毒中,文件型病毒所佔的數目最大,傳播廣,採用的技巧也多種多樣。
一般來說,黑色星期五感染文件后,會在文件的末尾放有標誌串“sUMsDos ,一些病毒檢測程序以此作為識別黑色星期五病毒的標誌,但是很多黑色星期五病毒的變種已將這個標誌變成各種各樣的其他字元串。
黑色星期五病毒是一個內存駐留型的病毒。它感染COM型文件和 EXE型文件,一些變種也感染.SYS、.BIN和.PIF文件以及覆蓋文件。病毒進入內存半小時之後,整個PC機的運行速度會降低到原速率的十分之一左右,並在屏幕的左下角開出一個黑色的窗口。檢查黑色星期五病毒是否駐留內存的方法是檢查中斷向量表中的8和21號中斷向量段地址是否為同一地址,以及執行過的文件是否被加長,特別是EXE型文件是否被反覆加長。
由於黑色星期五病毒出現得早,如KV300等查毒軟體都可以檢查和清除病毒代碼