浅谈病毒的初级变种与传播及其防范

刘博畅

摘要：为探究病毒初级变种躲避杀软查杀的方式，防范病毒的入侵，对杀软的查杀机制进行了简要分析，针对制造病毒变种的大众化趋势，寻求简易变种方法，并对方法原理以及防范方法进行了简要讨论。探究结果表明，病毒变种在工具化的背景下日益简易，但防范手段的多样，也可以防止病毒入侵。

关键词：病毒；变种；传播；防范；杀毒软件

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)24-5770-04

Discussion on the Virus Primary Variants and Spreads and Its Prevention

LIU Bo-chang

(QHD High-school, Qinghunangdao 066000,China)

Abstract：To study the way that primary variants virus avoids anti-virus softwares killing,prevent the intrusion of virus ,analyze anti-virus software killing mechanisms,briefly ,aiming at the popular trend of manufacturing virus variants,looking for simple method of variants.and discusse the principle as well as the methods of prevention briefly.The result makes clear,virus variants by tools is easier day by day,but the means of preventing the variety , can also prevent virus intrusion

Key words：virus; variants; spreads; prevention; anti-virus software

在中国黑客大众化的阶段，病毒日益肆虐，但很多人并不知道病毒是怎样变种且逃过杀软查杀来传播的。下面该文将详细揭秘病毒变种及其传播过程，并对防范做相应解释。

个人理解呢，先前的杀软主要是查杀病毒特定物理位置来判定病毒的（如果正常文件和某个病毒在同一个物理位置有相同的代码，而且杀软判定的特定物理位置恰好也在该位置，就会发生误报），现在的杀软几乎都采用启发式杀毒，通俗讲，就是智能杀毒，杀软就是通过病毒运行代码来判定文件是不是携带木马行为的。 2.1病毒的加壳简单过杀软

加壳的全称应该是可执行程序资源压缩,是保护文件的常用手段，通过加壳我们来保护病毒的代码不被360查出，但360的QVM启发式却可以通过代码运行继续查出，这是360自主研发的引擎，所以不能通过随便加壳过掉QVM，那怎么办呢？

首先，了解PE文件的高手们，一定会选择加密PE文件的明文。

这里用一个工具来加密（图1）

下面举两个例子。

3.1第一种方法，针对PC，文件捆绑。3.1.1简述

由于文件捆绑的工具杀软查的很紧，不过也可在捆绑之后用上述方法逃过杀软。所以，很多人选择系统自带的“捆绑器”——iexpress，然后把我们变种弄好病毒和一些软件比如玩家喜欢用的外挂，办公人员用的常用工具捆绑在一起，发布到网上，运行时两文件一起运行，病毒就可以悄悄的入侵到你的电脑了。如图11。

3.1.2防范

首先我们不要下载可疑的文件（比如外挂等），一定要下载，看到文件夹模样的图标不一定是文件夹，有可能exe文件，所以我们在执行可疑的文件的时候，多多右键，看看能不能解压缩，看看属性，是什么格式。还有就是经常升级杀软。

3.2第二种方法，针对服务器，端口入侵。

3.2.1简述

常见的服务器端口：80、21、445、1433、3306、3389、8080等。

以1433为例：

这些黑客如果用S扫描器扫到很多主机开放了1433端口，他们就可以写批处理文件检测密码，也就是口令，然后夺取权限，执行命令，实现自动上传病毒并运行。

此次探究，能够发现，目前流行的文件编辑工具可以轻易完成对病毒的变种来逃避杀软的查杀，变种方法多种多样，防范手段也可根据入侵方式进行相应的改善来达到反病毒的目的。希望杀毒软件方面应多加技术创新，试图反杀软的黑客们也要开创新的方法，这样网络应用技术才可能日益发达。