文件型病毒一般感染

㈠ 文件型病毒最主要感染：（ ） A、.exe或.com文件 B、.PPT文件 C、doc文件 D、.c或.exe文件

選A
因為 B,C只會感染宏病毒
D .c不是可執行文件，所以不會感染

㈡ 文件型病毒會使哪些文件感染

染本地硬碟和區域網內被映射盤中的擴展名為 .exe 和 .scr 的PE文件，與a變種相比，其變形更加復雜。
1、在注冊表該位置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
添加鍵值
PINF
2、在臨時目錄中釋放一個dll文件，但是其文件名是隨機的，擴展名為 .tmp
病毒名稱：20060515_Win32.Parite.b
病毒類型：病毒
文件 MD5：
公開范圍：完全公開
危害等級：中
文件長度：203,225 位元組
感染系統：windows 98 及以上版本
開發工具：Microsoft Visual C++ 6.0
加殼類型：未知殼
命名對照：Symentec[W32.Pinfi]
Mcafee[W32/Pate.b]
病毒描述：
該病毒具有後門、蠕蟲的性質，病毒嘗試枚舉弱口令並復制原病毒副本到其它的主機中。感染該病毒後，病毒會連接到某IRC地址，等待並接受惡意者的控制，如：刪除、下載、上傳、執行任意文件等，病毒還會修改注冊表文件，達到隨系統啟動的目的，該病毒對用戶有一定的危害。
行為分析：
1、復制原病毒副本到：
%winnt%\winlogon.exe
%Documents and Settings\Administrator
\Local Settings%\temp\%<random>.tmp(4個隨機字元)
2、修改注冊表文件，達到隨系統啟動的目的：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\ICQ Net
鍵值: 字串: "C:\WINNT\winlogon.exe -stealth"
3、連接到某IRC，等待惡意者的連接，並接受惡意操作，如：刪除、下載、上傳、執行任意文件等。
註：% System%是一個可變路徑。病毒通過查詢操作系統來決定當前System文件夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32，windows95/98/me中默認的安裝路徑是C:\Windows\System，windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案：
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應文件，恢復相關系統設置。
(1) 使用安天木馬防線「進程管理」關閉病毒進程
(2) 刪除病毒文件：%winnt%\winlogon.exe並清理臨時文件夾
(3) 恢復病毒修改的注冊表項目，刪除病毒添加的注冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\ICQ Net
鍵值: 字串: "C:\WINNT\winlogon.exe -stealth"

㈢ 文件型病毒通常感染什麼類型的文件

文件型病毒是主要感染可執行文件的病毒，它通常隱藏在宿主程序中，執行宿主程序時，將會先執行病毒程序再執行宿主程序。

傳播方式

當宿主程序運行時，病毒程序首先運行，然後駐留在內存中，再伺機感染其它的可執行程序，達到傳播的目的。

感染對象

擴展名是COM或者EXE的文件是文件型病毒感染的主要對象。

病毒典型代表——CIH

CIH病毒，別名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，主要感染Windows95/98下的可執行文件，在Win NT中無效。其發展過程經歷了v1.0，v1.1、v1.2、v1.3、v1.4總共5個版本，危害最大的是v1.2版本，此版本只在每年的4月26日發作，又稱為切爾諾貝利病毒（前蘇聯核事故紀念日）。

CIH病毒只在Windows 95/98環境下感染發作，當運行了帶毒的程序後，CIH病毒駐留內存，再運行其它.exe文件時，首先在文件中搜索「caves」字元，如果沒有發現就立即傳染。CIH病毒發作時硬碟數據、硬碟主引導記錄、系統引導扇區、文件分配表被覆蓋，造成硬碟數據特別是C盤數據丟失，並破壞部分類型的主板上的Flash BIOS導致計算機無法使用，是一種既破壞軟體又破壞硬體的惡性病毒。引自http://..com/question/1116872.html
如何處理(清除)文件型病毒

所謂文件型病毒是指寄生在正常可執行或動態鏈接庫文件(如COM、EXE和DLL)中，通過運行被感染的文件而激活的一種病毒。雖然現在的電腦病毒越來越向著網路化蠕蟲類發展，但仍然還有許多文件型的病毒橫行。由於許多用戶對查殺文件型病毒存在誤解，因此這類病毒往往被認為很難清除，最終只得重裝系統。其實只要注意以下幾點，此類病毒還是很容易被清除的。

1.文件型病毒都駐留內存，在正常模式下，由於帶毒文件正在運行，無法對這些文件直接進行操作。從現今的反病毒技術和病毒來看，絕大部分病毒都不可能在正常模式下簡單地就可以徹底清除，所以清除文件型病毒最好在DOS模式下操作。

2.許多文件型病毒也會通過網路感染，所以殺毒時一定要斷掉網路連接(拔掉網線)，特別在區域網中，一定要把所有電腦上的病毒全都查殺干凈以後才可以連網，否則一台剛剛殺過毒的電腦可能被再次感染，這點一定要注意。如果你面對的是一個中大型的區域網，可以考慮購買企業版(網路版)的殺毒軟體進行管理。

3.由於文件型病毒都是要對宿主文件(也就是要被感染的文件)進行修改，把自身代碼添加到宿主文件上，所以會造成一些結構比較復雜的文件損壞，比如一些自解壓縮文件(通常是一些軟體的安裝文件)、帶有自校驗功能的文件無法運行，當它感染了系統文件，還會造成系統問題(比如經常出現「非法操作」等)。出現的這些症狀即使用殺毒軟體把病毒清除干凈了也沒法修復，這並不是殺毒軟體把文「殺壞」了，而是感染這個病毒時就已經損壞了。 這時只能用以前的備份文件替換掉損壞的文件。

通過以上的介紹就可以看出，文件型病毒的預防和查殺難度教大，所以推薦大家使用殺毒軟體進行預防和查殺，當然當我們的匯編知識豐富並且程序分析能力強的話，可通過其他途徑學習分析文件型病毒的方法，這樣除了可以更加透徹地掌握文件型病毒感染，傳播和破壞機理外，還可以增加更多的實踐經驗，鍛煉操作能力。
http://www.e.cn/wang_luo_guan_li_1646/20070709/t20070709_242002.shtml

㈣ 文件型病毒傳染的主要對象是什麼類文件

文件型病毒傳染的對象主要是.COM和.EXE文件。

所有通過操作系統的文件系統進行感染的病毒都稱作文件病毒，所以這是一類數目非常巨大的病毒。理論上可以製造這樣一個病毒，該病毒可以感染基本上所有操作系統的可執行文件。

文件病毒可以感染所有標準的DOS可執行文件：包括批處理文件、DOS下的可載入驅動程序（.SYS）文件以及普通的COM/EXE可執行文件。

當然還有感染所有視窗操作系統可執行文件的病毒，可感染文件的種類包括：視窗3.X版本，視窗9X版本，視窗NT和視窗2000版本下的可執行文件，後綴名是EXE、DLL或者VXD、SYS。

(4)文件型病毒一般感染擴展閱讀：

文件型病毒的原理：

當被感染程序執行之後，病毒會立刻（入口點被改成病毒代碼）或者在隨後的某個時間（「無入口點病毒」）獲得控制權。

獲得控制權後，病毒通常會進行下面的操作（某個具體的病毒不一定進行了所有這些操作，操作的順序也很可能不一樣）：內存駐留的病毒首先檢查系統可用內存，查看內存中是否已經有病毒代碼存在，如果沒有將病毒代碼裝入內存中。

非內存駐留病毒會在這個時候進行感染，查找當前目錄、根目錄或者環境變數PATH中包含的目錄，發現可以被感染的可執行文件就進行感染。

參考資料來源：網路-文件型病毒