3.22 复合病毒
第一个能够感染COM文件和引导扇区的病毒是Ghostball，它是Fridrik Skulason在1989年10 月发现的。另一个早期的复合病毒的例子是Tequila，Tequila能够感染DOS的EXE文件以及硬盘 的MBR（主引导扇区）。
复合病毒往往是狡猾而难于清除的。例如，Junkie病毒能够感染COM文件，也是一种引导 区病毒。Junkie能够感染隐藏分区中的COM文件[52]，这些分区被计算机制造商加上了特别的标 记，用来隐藏数据和额外代码。由于Junkie在这些隐藏文件被访问前就被载入了内存，因此这些 文件很容易被感染。病毒扫描一般只对可见分区进行扫描，所有可见分区的病毒都已经被清除， 但是隐藏分区中仍然存在病毒，于是系统在经过清理后常常神秘地再次被感染。因此，一旦隐 藏分区被用来运行某一个被感染的COM文件，病毒将再次感染系统。
过去，使用DOS操作系统的机器尤其会受到引导区和复合病毒的感染。在现在的Windows 操作系统中，这种病毒的威胁已经减小了，但依然存在。
Memorial[53]病毒能在同一种病毒中进行DOS COM、EXE和PE的感染。Memorial病毒激活时 的表现如图3-15所示。

图3-15 W95/Memorial病毒的消息

W95/Memorial也使用Windows 9x的VxD（虚拟设备驱动器）格式将自己载入到核心模式， 并钩挂文件系统，实时地感染被访问的文件。因此，Memoria也会感染16位和32位文件。
复合感染的另一个有趣的例子是俄罗斯病毒3APA3A，它于1994年10月在莫斯科爆发[54]。 3APA3A是硬盘上一种常规的引导区病毒，它本身占用两个扇区，对硬盘使用一种特殊的感染方 式。它能够感染DOS的核心文件IO.SYS。首先它复制一份IO.SYS，然后再重写原始文件。感染 以后，根目录下包含了两个IO.SYS文件，但第一个被设置为磁盘的卷标；因此DIR命令不会显 示出两个文件，而只是显示一个卷标IO.SYS和一个单独的IO.SYS文件。这样就能诱使DOS载入 受感染的IO.SYS拷贝。紧接着该病毒会在其之后启动原始文件。这种情况是因为DOS会载入第 一个IO.SYS文件而不检查它的属性。这种方式是伴随感染（companion infection）技术的一种特 殊代表。

回书目   上一节   下一节