3.21 自包含环境的依赖性

作者: Peter Szor 出处:机械工业出版社 　2007-07-17 13:51　   砖    好    评论  条 　进入论坛

阅读提示：本书由Symantec首席反病毒研究员执笔，是讲述现代病毒威胁、防御技术和分析工具的权威指南。作者系统地讲述了反病毒技术的方方面面，包括病毒行为、病毒分类、保护策略、反病毒技术及蠕虫拦截技术等。本文介绍的是自包含环境的依赖性。

3.21 自包含环境的依赖性
当恶意代码将其自身需要的环境带到被感染平台上时，将会出现一种有趣的依赖性。W32/Franvir病毒族就是一个很好的例子。
Franvir看上去是一个Win32程序，它是用Borland Delphi编译成的32位PE程序。然而，实际上它的Win32二进制部分是所谓的Game Maker， 它是由荷兰的Mark Overmars开发的（http://www.cs.uu.nl/people/markov/gmaker/doc. html）。
Franvir病毒是由一个法国人使用Game Maker脚本语言（GML，Game Maker语言）编写而成的。只有Game Maker的注册版本才能获得GML，该版本向开发者提供了使用这些功能的安全选项（把功能关闭或者打开），而安全设置是开发者的责任。恶意代码开发者能够很容易利用
Game Maker的GML来编写病毒代码。
Game Maker是一种专业的游戏开发环境，专业人员用它开发了许多优秀的游戏。它可以用来开发各种游戏，包括射击游戏、猜谜游戏，甚至isometric游戏。比如，一种叫做Doomed的射击游戏就是用Game Maker开发的。
GML脚本提供注册、归档、程序执行的功能。文件操作函数相当丰富，并为游戏开发者安装和执行程序提供了非常大的灵活性，但是它也还可以被攻击者利用。GML的一些函数如下所示： GML脚本存贮在Game Maker资源中，但它们是通过环境—Game Maker本身的翻译器— 来执行的。Franvir是一种加密的GML脚本，它将自己用各种各样的已经存在的名字复制到硬盘 的各处。它也会把自己安装到本地的P2P（点到点）文件夹里，如果KaZaA目录不存在 （“kazaa\my shared folder\”），它甚至还会为KaZaA新建一个共 享文件夹，并改变KaZaA的设置共享该文件夹。此外，它的破 坏性还在于能够删除Windows的win.com文件。因此，Franvir最 终应该归类为Win32 P2P蠕虫。但是实际上，它是一种GML脚 本，由自己本身的环境带到新平台中。当病毒成功执行后，它 会用show_message()函数显示如图3-14所示的错误信息。

图3-14 Franvir显示的错误信息

当该病毒被激活后，它可能只是玩一个诸如Playgame的DOS病毒游戏，而不是进行恶意的文件删除操作。不过，对于一个典型的病毒开发者，我们还能奢望他们做什么呢？

回书目   上一节   下一节