大麻病毒

大麻病毒

大麻病毒名字來源於該病毒體內的一段信息,目前大麻病毒已有好幾種變種了。大麻病毒又叫紐西蘭病毒,因為最早在1988年初,在紐西蘭的惠靈頓市就有發現大麻病毒的報道。那時的大麻病毒只感染360KB的軟盤,不感染硬碟。

病毒


後來的大麻變種中,大部分都感染硬碟,有的還改動了顯示信息,有的則把顯示信息語句之前的條件判斷修改成每次啟動時,病毒都在屏幕上顯示出下列字元串:Your PC is now Stoned!
LEGALISE MARIJUANA!
而不是原始設計的當系統時鐘計數器記到8的倍數時才顯示上述信息。
大約在1989年大麻病毒傳入我國,成為在當時四處傳播的一種主要病毒。大麻病毒很短小,總共不到400個位元組的代碼就完成了駐留內存、修改中斷向量、區別軟硬碟、感染軟盤、感染硬碟、引導原硬碟主引導扇區、顯示時機判斷、顯示信息以及大麻病毒感染標誌判斷以防止重複感染等眾多功能。
大麻病毒像其他許多引導區病毒一樣,對軟盤的感染並不去判斷該軟盤是否含有DOS的系統文件,即不理會該軟盤是否為可啟動的系統盤,因此造成不僅系統盤會被感染,一般的數據盤也會被感染。當染有大麻病毒的軟盤插在A:驅動器中,在系統重新啟動時首先嘗試讀A:盤。只要軟盤的引導扇區內容被讀進PC機,即使啟動不成功,大麻也已經駐留在內存中,可以繼續去感染硬碟和他未染病毒的軟盤了。PC機將隱藏在軟盤引導扇區的病毒讀入內存只是一瞬間的事情,往往在用戶意識到自己在啟動PC機時插錯了軟盤,或根本不該在軟碟機中插軟盤時,已經為時已晚了。許許多多種引導區型毒就是靠這種方式感染進硬碟的。PC機硬碟內原本是無毒的,因為一次偶然的操作,使引導區型病毒從軟盤傳染進入了硬碟,這是很多用戶都經歷過的。經過分析,我們知道大麻病毒與其他許多引導區型病毒一樣,都只能從軟盤傳染到硬碟。
從傳染方式上講,大麻病毒是在系統執行讀操作時進行傳染的。由於磁碟讀寫中斷被大麻病毒接管,因此任何磁碟操作都會被它過濾一遍,讀磁碟是最普遍的操作,大麻病毒在判斷到有讀盤操作發生時,就調用傳染子程序,對那些尚未被大麻病毒感染過的磁碟進行傳染。判斷的標誌是大麻病毒自身的啟動程序代碼,因此很難為正確的引導扇區啟動程序製作大麻病毒的免疫標誌。在這裡我們也可以看到要製作出可以成為各種病毒都被通用的免疫標誌是不可能的。我們不能依靠製作免疫標誌的方法來抵禦電腦病毒。

方法


作為大麻病毒程序本身,其內部並沒有刻意編寫的破壞代碼,如將FAT清零、格式化磁碟等,無法將其劃分為惡性病毒,但實際上大麻病毒卻能引來數據混亂、文件丟失等。
對軟盤來講,大麻病毒將原DOS引導扇區搬移到0道、1面、3扇區中,原扇區的內容被覆蓋掉。如果該扇區含有有用信息,這將造成損失,在360KB容量的軟盤上,這個扇區是目錄區最後一個扇區,若根目錄下的文件數目不是很多時,不會用到這個扇區,也就不會有影響,對1.2MB容量的軟盤,大麻病毒佔用的這個扇區位於目錄區的第三扇區,而不是最後一個扇區,這時存放在這個扇區的16個文件就全部丟失了,而根目錄里只有前兩個扇區內的32個文件未受觸動。第3扇區以後的扇區內容因第三扇區被破壞而使存放在其中的文件也無法被找到。這是大麻病毒覆蓋正常扇區的情況。反過來,若該盤是系統引導盤,被大麻感染之後,原引導扇被寫到0磁軌、1柱面、3扇區,當盤上建立的文件數逐漸增加,覆蓋了佔據目錄區的原引導扇區內容時,該盤就由能引導的啟動盤變成不能引導的啟動盤了。
對硬碟來講,大麻病毒可能不造成任何破壞,也可能會毀壞數據,這取決於盤上安裝的DOS版本號。硬碟劃分分區時,有一個保留區,也叫隱藏區。DOS 2.x的FDISK劃分分區時,隱藏區的扇區數目為o,此時大麻病毒在傳染硬碟時,把原主引導扇區搬到o道0面7扇區,該扇區正好是硬碟C:分區的FAT所在扇區。在這種情況下,不是造成由於FAT被破壞引起數據丟失,就是佔據該位置的主引導區被破壞而引起硬碟不能啟動。DOS 3.x的FDISK將整個一個磁軌都劃為隱藏區,除主引導扇區所處的第一扇區有用外,其他扇區作為保留,不放DOS信息。這種情況下,硬碟上即使感染上了大麻病毒,系統里的數據也不受損傷,因為0道0面7扇區是保留區內的扇區。
在內存中,大麻病毒佔用了2KB內存,實際只佔用了1KB。檢查大麻病毒時,要在內存中無病毒的情況下進行,不然剛剛清掉病毒又馬上會被感染上。