可執(zhí)行文件病毒是傳統(tǒng)病毒之一。這類病毒的編寫者的技術(shù)水平可說相當高超，可執(zhí)行文件病毒大多用匯編/c編寫，利用被感染程序中的空隙，將自身拆分為數(shù)段藏身其中，在可執(zhí)行文件運行的同時進駐到內(nèi)存中并進行感染工作，dos下大多為可執(zhí)行文件病毒居多，在windows下由于win95時期病毒編寫者對pe32的格式?jīng)]吃透，那段時間比較少，之后在win98階段可執(zhí)行文件病毒才擴散開來，其中大家廣為熟悉的CIH病毒就是一例。

 

在windows發(fā)展的中后期，互聯(lián)網(wǎng)絡(luò)開始興盛，可執(zhí)行文件病毒開始結(jié)合網(wǎng)絡(luò)漏洞進行傳播，其中的杰出代表為funlove傳播——由于windows操作系統(tǒng)的局網(wǎng)共享協(xié)議存在默認共享漏洞，以及大部分用戶在設(shè)置共享的時候貪圖方便不設(shè)置復(fù)雜密碼甚至根本就沒有密碼，共享權(quán)限也開啟的是“完全訪問”。導(dǎo)致funlove病毒通過簡單嘗試密碼利用網(wǎng)絡(luò)瘋狂傳播。

 

可執(zhí)行文件病毒淺析：

 

由于可執(zhí)行文件病毒的編寫對作者要求很高，對運行環(huán)境的要求也相當嚴格，在編寫不完善的時候，會導(dǎo)致系統(tǒng)異常（例如CIH的早期版本會導(dǎo)致winzip出錯和無法關(guān)閉計算機等問題；funlove在nt4上會導(dǎo)致 mssqlserver的前臺工具無法調(diào)出界面等問題）�？蓤�(zhí)行文件病毒賴以生存的制約是系統(tǒng)的運行時間和隱蔽性。運行時間——系統(tǒng)運行的時間越長，對其感染其他文件越有利，因此此類病毒中一般不含有惡意關(guān)機等代碼，染毒后短期內(nèi)（一般24小時內(nèi)）也不會導(dǎo)致系統(tǒng)崩潰（如果你是25日感染cih除外），和其他病毒相比用戶有足夠的處理時間。破壞引導(dǎo)區(qū)的大腦病毒、擇日發(fā)作的星期五病毒、直接讀寫主板芯片，采用驅(qū)動技術(shù)的CIH病毒都是其中的代表。

 

可執(zhí)行文件病毒感染途徑：

 

可執(zhí)行文件病毒本身依靠用戶執(zhí)行而進行被動運行，常見感染途徑為：盜板光盤、軟盤、安全性不佳的共享網(wǎng)絡(luò)；

 

可執(zhí)行文件病毒自查：

 

可執(zhí)行文件病毒大多通過的是進駐內(nèi)存后篇歷目錄樹的方式，搜索每個目錄下的可執(zhí)行文件進行感染，因此對內(nèi)存占用得比較厲害——如果突然在某個時間后發(fā)現(xiàn)自己的機器內(nèi)存占用很高，可能就是感染了此類病毒。

 

可執(zhí)行文件病毒查殺：

 

可執(zhí)行文件病毒由于編寫難度較大，因此升級（病毒也玩升級？對，例如CIH是在1.4版本后才完善的）速度相對較慢，但由于開機后進駐的程序可能已經(jīng)被病毒感染，因此殺毒條件是各種病毒中最為嚴格的，且這2種方式比較干凈徹底的方法也適用用后面介紹的各種病毒：

 

1.軟盤（光盤）啟機使用殺毒軟（光）盤進行殺毒；在進行這步的時候，必須要保證軟盤或光盤的病毒庫內(nèi)已經(jīng)有殺除該病毒的特征碼。

 

2.將硬盤拆下，作為其他機器的從盤；從其他機器的主盤啟動進行殺毒（該機需打開病毒即時監(jiān)控，以防止來自從盤的可執(zhí)行文件中的病毒進駐到內(nèi)存中）；以常見的國產(chǎn)幾種殺毒軟件為例，在購買的正式版本中，除了供安裝使用的光盤外，一般還包含幾張軟盤（一張引導(dǎo)盤，一張殺毒程序盤，一張病毒庫盤）。在對待上面提到的可執(zhí)行文件病毒時，最好的做法就是用引導(dǎo)盤啟動計算機，然后根據(jù)提示將殺毒程序盤和病毒盤依次插入，進行病毒查殺。