大麻病毒又叫新西兰病毒,因为最早在1988年初,在新西兰的惠灵顿市就有发现大麻病毒的报道。那时的大麻病毒只感染360KB的软盘,不感染硬盘。后来的大麻变种中,大部分都感染硬盘,有的还改动了显示信息,有的则把显示信息语句之前的条件判断修改成每次启动时,病毒都在屏幕上显示出下列字符串:YourPCisnowStoned!LEGALISEMARIJUANA!而不是原始设计的当系统时钟计数器记到8的倍数时才显示上述信息。
来源
大麻病毒名字来源于该病毒体内的一段信息,目前大麻病毒已有好几种变种了。
危害
大麻病毒很短小,总共不到400个字节的代码就完成了驻留内存、修改中断向量、区别软硬盘、感染软盘、感染硬盘、引导原硬盘主引导扇区、显示时机判断、显示信息以及大麻病毒感染标志判断以防止重复感染等众多功能。
特点
大约在1989年大麻病毒传入我国,成为在当时四处传播的一种主要病毒。大麻病毒像其他许多引导区病毒一样,对软盘的感染并不去判断该软盘是否含有DOS的系统文件,即不理会该软盘是否为可启动的系统盘,因此造成不仅系统盘会被感染,一般的数据盘也会被感染。当染有大麻病毒的软盘插在A:驱动器中,在系统重新启动时首先尝试读A:盘。只要软盘的引导扇区内容被读进PC机,即使启动不成功,大麻也已经驻留在内存中,可以继续去感染硬盘和他未染病毒的软盘了。PC机将隐藏在软盘引导扇区的病毒读入内存只是一瞬间的事情,往往在用户意识到自己在启动PC机时插错了软盘,或根本不该在软驱中插软盘时,已经为时已晚了。许许多多种引导区型毒就是靠这种方式感染进硬盘的。PC机硬盘内原本是无毒的,因为一次偶然的操作,使引导区型病毒从软盘传染进入了硬盘,这是很多用户都经历过的。经过分析,我们知道大麻病毒与其他许多引导区型病毒一样,都只能从软盘传染到硬盘。
传染方式
从传染方式上讲,大麻病毒是在系统执行读操作时进行传染的。由于磁盘读写中断被大麻病毒接管,因此任何磁盘操作都会被它过滤一遍,读磁盘是最普遍的操作,大麻病毒在判断到有读盘操作发生时,就调用传染子程序,对那些尚未被大麻病毒感染过的磁盘进行传染。判断的标志是大麻病毒自身的启动程序代码,因此很难为正确的引导扇区启动程序制作大麻病毒的免疫标志。在这里我们也可以看到要制作出可以成为各种病毒都被通用的免疫标志是不可能的。我们不能依靠制作免疫标志的方法来抵御电脑病毒。
作为大麻病毒程序本身,其内部并没有刻意编写的破坏代码,如将FAT清零、格式化磁盘等,无法将其划分为恶性病毒,但实际上大麻病毒却能引来数据混乱、文件丢失等。
对软盘来讲,大麻病毒将原DOS引导扇区搬移到0道、1面、3扇区中,原扇区的内容被覆盖掉。如果该扇区含有有用信息,这将造成损失,在360KB容量的软盘上,这个扇区是目录区最后一个扇区,若根目录下的文件数目不是很多时,不会用到这个扇区,也就不会有影响,对1)2MB容量的软盘,大麻病毒占用的这个扇区位于目录区的第三扇区,而不是最后一个扇区,这时存放在这个扇区的16个文件就全部丢失了,而根目录里只有前两个扇区内的32个文件未受触动。第3扇区以后的扇区内容因第三扇区被破坏而使存放在其中的文件也无法被找到。这是大麻病毒覆盖正常扇区的情况。反过来,若该盘是系统引导盘,被大麻感染之后,原引导扇被写到0磁道、1柱面、3扇区,当盘上建立的文件数逐渐增加,覆盖了占据目录区的原引导扇区内容时,该盘就由能引导的启动盘变成不能引导的启动盘了。
对硬盘来讲,大麻病毒可能不造成任何破坏,也可能会毁坏数据,这取决于盘上安装的DOS版本号。硬盘划分分区时,有一个保留区,也叫隐藏区。DOS2)x的FDISK划分分区时,隐藏区的扇区数目为o,此时大麻病毒在传染硬盘时,把原主引导扇区搬到o道0面7扇区,该扇区正好是硬盘C:分区的FAT所在扇区。在这种情况下,不是造成由于FAT被破坏引起数据丢失,就是占据该位置的主引导区被破坏而引起硬盘不能启动。DOS3)x的FDISK将整个一个磁道都划为隐藏区,除主引导扇区所处的第一扇区有用外,其他扇区作为保留,不放DOS信息。这种情况下,硬盘上即使感染上了大麻病毒,系统里的数据也不受损伤,因为0道0面7扇区是保留区内的扇区。
在内存中,大麻病毒占用了2KB内存,实际只占用了1KB。检查大麻病毒时,要在内存中无病毒的情况下进行,不然刚刚清掉病毒又马上会被感染上。