复合感染策略形式的宏病毒
-
2024-02-19 05:13:49 - 来源:未知
-
在手机上看
扫一扫立即进入手机端
有一些二进制病毒也会向宏病毒一样感染文档文件。这些病毒一般对于宏的解释环境没有依赖性。
例如复合病毒W32/Coke,它通过一小段加载程序代码投放一个特别感染的全局模板。此加载程序会从一个文本文件中提取多态宏代码(将会在第7章中讨论)并将其写入全局模板中。因此,Coke是最具多态性的二进制病毒之一,同样也是宏病毒。一般的多态宏病毒通常运行起来非常慢,因为在运行其代码时需要许多的叠代,而多态引擎(polymorphic engine)是非常慢的。
由于Coke使用Win32代码在文本文件中生成多态宏病毒代码(而不使用多态引擎),因此Coke比一般基于多态引擎的多态宏病毒要快一些。
另外有些病毒并不需要用word来感染office文档。然而这些病毒非常罕见而且通常都有很多的bug, 因为即使是Word 6文件格式也很难用在文件中插入宏的方法来分析和修改。W95/Navrhar病毒通过注入宏代码,在word文档的末尾加载二进制形式的文件。因此,Navrhar可以在系统中没有安装Word的情况下感染文档。
