电脑技术学习：闪存病毒破坏系统，我的主板要唱歌

转载请注明出处 电脑报（http://www.shudoo.com）   
2009年第16期F版   责任编辑：陈邓新
作者：万立夫 汪泓翰

　　病毒类型：闪存病毒
　　病毒目的：破坏系统

　　小编点睛：假象一下，半夜三更你坐在电脑前悠然自得地上网，突然主板开始唱歌——一曲“回到未来”，你是不是会被吓一跳？接着你就会抓狂，主板的蜂鸣器发出的歌声（蜂鸣器发出“滴、滴、滴”的声音，主要是用来报警或者提示的），异常难听，仿佛是“死亡叹调”。这就是中了唱歌病毒的后遗症。中了它，你就会时时刻刻被的歌声折磨。
   
　　读者来信：几天前，我用电脑办公，突然听到一种刺耳的声音，无比难听。放下手中工作，我寻找噪音的源头，竟然是在机箱里面，最后确认问题出在主板上。是主板坏了？温度高了？电脑还能正常使用，应该没有问题！

　　难道有鬼？我是无神论者，才不信这个！那时我突然想到电脑偶尔会弹出广告，是不是中毒了？带着疑问，我用搜索引擎一搜，发现跟我电脑出现同样症状的难兄难弟真不少，都是中了所谓的唱歌病毒。

　　唱歌病毒利用主板的蜂鸣器，演奏“回到未来”。这那是什么歌声，完全就是噪声，我憎恨病毒作者，太没有音乐欣赏水平了。好在我在一只电脑“老鸟”，懂不少安全知识，清除了该病毒。

　　主板是如此唱歌的
　　病毒是运用了什么“巫术”让主板唱歌的呢？它利用的是震动频率，音调的高低与震动频率成正比,也就是说物体震动速度越快则音调越高，如果把震动频率的变化连在一起，主板蜂鸣器就会发出歌曲。在播放歌曲时，还可能弹出提示窗口（图1）。
此外，该病毒主要依靠闪存传播，中毒后，会禁用任务管理器、注册表，文件夹选项被隐藏了，“我的电脑”中的菜单内容也被窜改，诸如EXE、COM的程序关联也被强行抹杀了。

image001.jpg (15.5 KB)
2009-5-5 16:55

　　病毒原理：“唱歌病毒”在进入系统后，会将2009.exe和4.exe复制到系统的Windows目录里面。而另一个病毒文件.exe（该文件没有文件名）则会随机释放到系统中的任意目录。接着病毒会自动加载这三个文件到内存，这样这三个进程就可以起到相互保护的作用，尤其是.exe这个进程在普通的进程管理器里面根本查看不到。
　　病毒会删除系统文件userinit.exe，并且修改与其相关的Userinit启动项为4.exe，接着再修改另一个系统启动项Shell中的内容为2009.exe。然后再另外添加4和2009两个启动项到注册表，通过这四个启动项来确保病毒文件达到随机启动的目的。这样即使用户删除了病毒添加的启动项，但是由于没有注意到被窜改启动项，这样病毒还是可以进行正常的启动运行。

　　然后病毒会在每个磁盘的根目录释放lotto.exe和Autorun.inf两个文件（图2）。这样用户在双击打开磁盘的时候，自动运行功能就可以再次运行病毒文件，从而扩大病毒的传播范围和影响力。