文件型病毒一般感染

㈠ 文件型病毒最主要感染：（ ） A、.exe或.com文件 B、.PPT文件 C、doc文件 D、.c或.exe文件

选A
因为 B,C只会感染宏病毒
D .c不是可执行文件，所以不会感染

㈡ 文件型病毒会使哪些文件感染

染本地硬盘和局域网内被映射盘中的扩展名为 .exe 和 .scr 的PE文件，与a变种相比，其变形更加复杂。
1、在注册表该位置
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
添加键值
PINF
2、在临时目录中释放一个dll文件，但是其文件名是随机的，扩展名为 .tmp
病毒名称：20060515_Win32.Parite.b
病毒类型：病毒
文件 MD5：
公开范围：完全公开
危害等级：中
文件长度：203,225 字节
感染系统：windows 98 及以上版本
开发工具：Microsoft Visual C++ 6.0
加壳类型：未知壳
命名对照：Symentec[W32.Pinfi]
Mcafee[W32/Pate.b]
病毒描述：
该病毒具有后门、蠕虫的性质，病毒尝试枚举弱口令并复制原病毒副本到其它的主机中。感染该病毒后，病毒会连接到某IRC地址，等待并接受恶意者的控制，如：删除、下载、上传、执行任意文件等，病毒还会修改注册表文件，达到随系统启动的目的，该病毒对用户有一定的危害。
行为分析：
1、复制原病毒副本到：
%winnt%\winlogon.exe
%Documents and Settings\Administrator
\Local Settings%\temp\%<random>.tmp(4个随机字符)
2、修改注册表文件，达到随系统启动的目的：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\ICQ Net
键值: 字串: "C:\WINNT\winlogon.exe -stealth"
3、连接到某IRC，等待恶意者的连接，并接受恶意操作，如：删除、下载、上传、执行任意文件等。
注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件：%winnt%\winlogon.exe并清理临时文件夹
(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run\ICQ Net
键值: 字串: "C:\WINNT\winlogon.exe -stealth"

㈢ 文件型病毒通常感染什么类型的文件

文件型病毒是主要感染可执行文件的病毒，它通常隐藏在宿主程序中，执行宿主程序时，将会先执行病毒程序再执行宿主程序。

传播方式

当宿主程序运行时，病毒程序首先运行，然后驻留在内存中，再伺机感染其它的可执行程序，达到传播的目的。

感染对象

扩展名是COM或者EXE的文件是文件型病毒感染的主要对象。

病毒典型代表——CIH

CIH病毒，别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH，主要感染Windows95/98下的可执行文件，在Win NT中无效。其发展过程经历了v1.0，v1.1、v1.2、v1.3、v1.4总共5个版本，危害最大的是v1.2版本，此版本只在每年的4月26日发作，又称为切尔诺贝利病毒（前苏联核事故纪念日）。

CIH病毒只在Windows 95/98环境下感染发作，当运行了带毒的程序后，CIH病毒驻留内存，再运行其它.exe文件时，首先在文件中搜索“caves”字符，如果没有发现就立即传染。CIH病毒发作时硬盘数据、硬盘主引导记录、系统引导扇区、文件分配表被覆盖，造成硬盘数据特别是C盘数据丢失，并破坏部分类型的主板上的Flash BIOS导致计算机无法使用，是一种既破坏软件又破坏硬件的恶性病毒。引自http://..com/question/1116872.html
如何处理(清除)文件型病毒

所谓文件型病毒是指寄生在正常可执行或动态链接库文件(如COM、EXE和DLL)中，通过运行被感染的文件而激活的一种病毒。虽然现在的电脑病毒越来越向着网络化蠕虫类发展，但仍然还有许多文件型的病毒横行。由于许多用户对查杀文件型病毒存在误解，因此这类病毒往往被认为很难清除，最终只得重装系统。其实只要注意以下几点，此类病毒还是很容易被清除的。

1.文件型病毒都驻留内存，在正常模式下，由于带毒文件正在运行，无法对这些文件直接进行操作。从现今的反病毒技术和病毒来看，绝大部分病毒都不可能在正常模式下简单地就可以彻底清除，所以清除文件型病毒最好在DOS模式下操作。

2.许多文件型病毒也会通过网络感染，所以杀毒时一定要断掉网络连接(拔掉网线)，特别在局域网中，一定要把所有电脑上的病毒全都查杀干净以后才可以连网，否则一台刚刚杀过毒的电脑可能被再次感染，这点一定要注意。如果你面对的是一个中大型的局域网，可以考虑购买企业版(网络版)的杀毒软件进行管理。

3.由于文件型病毒都是要对宿主文件(也就是要被感染的文件)进行修改，把自身代码添加到宿主文件上，所以会造成一些结构比较复杂的文件损坏，比如一些自解压缩文件(通常是一些软件的安装文件)、带有自校验功能的文件无法运行，当它感染了系统文件，还会造成系统问题(比如经常出现“非法操作”等)。出现的这些症状即使用杀毒软件把病毒清除干净了也没法修复，这并不是杀毒软件把文“杀坏”了，而是感染这个病毒时就已经损坏了。 这时只能用以前的备份文件替换掉损坏的文件。

通过以上的介绍就可以看出，文件型病毒的预防和查杀难度教大，所以推荐大家使用杀毒软件进行预防和查杀，当然当我们的汇编知识丰富并且程序分析能力强的话，可通过其他途径学习分析文件型病毒的方法，这样除了可以更加透彻地掌握文件型病毒感染，传播和破坏机理外，还可以增加更多的实践经验，锻炼操作能力。
http://www.e.cn/wang_luo_guan_li_1646/20070709/t20070709_242002.shtml

㈣ 文件型病毒传染的主要对象是什么类文件

文件型病毒传染的对象主要是.COM和.EXE文件。

所有通过操作系统的文件系统进行感染的病毒都称作文件病毒，所以这是一类数目非常巨大的病毒。理论上可以制造这样一个病毒，该病毒可以感染基本上所有操作系统的可执行文件。

文件病毒可以感染所有标准的DOS可执行文件：包括批处理文件、DOS下的可加载驱动程序（.SYS）文件以及普通的COM/EXE可执行文件。

当然还有感染所有视窗操作系统可执行文件的病毒，可感染文件的种类包括：视窗3.X版本，视窗9X版本，视窗NT和视窗2000版本下的可执行文件，后缀名是EXE、DLL或者VXD、SYS。

(4)文件型病毒一般感染扩展阅读：

文件型病毒的原理：

当被感染程序执行之后，病毒会立刻（入口点被改成病毒代码）或者在随后的某个时间（“无入口点病毒”）获得控制权。

获得控制权后，病毒通常会进行下面的操作（某个具体的病毒不一定进行了所有这些操作，操作的顺序也很可能不一样）：内存驻留的病毒首先检查系统可用内存，查看内存中是否已经有病毒代码存在，如果没有将病毒代码装入内存中。

非内存驻留病毒会在这个时候进行感染，查找当前目录、根目录或者环境变量PATH中包含的目录，发现可以被感染的可执行文件就进行感染。

参考资料来源：网络-文件型病毒