PE_Zerg

首時，另外一隻更厲害的電腦病毒又出現了。這隻最近在各NEWS論壇討論極多的病毒就是PE_Zerg電腦病毒。據此病毒作

者所宣稱的，它不僅是PE_CIH電腦病毒長駐方式---利用SIDT指令取得IDT位址，的首位發現者，並創出比IFSMgr(檔案系

統管理員)更深一層的FSD(檔案系統驅動程式)的方式，來感染PE(Windows95/98執行檔)檔案，企圖避過防毒軟體的攔截。

電腦使用者需隨時注意各家防毒軟體發布的病毒警訊並經常上網更新掃毒程式及病毒碼。

[病毒的感染方式及特徵]

當一個被感染的。EXE在使用者的系統執行時，它會先檢查您的作業系統是否是Windows95/98。如果不是，可能是Wi

ndowsNT，它就只執行原來的程式而不作任何事。如果是，它就先利用SIDT指令來取得IDT的起始位址。並更改INT0(Divi

deOverflow)的位址成為病毒程式內部的位址，以達到由Ring-3應用程式轉換到Ring-0系統程式的目的。在病毒的INT0服

務程式中，它會先呼叫IFSMgr_GetHeap函式來取得系統記憶體分配的區域，再把病毒程式複製到系統記憶體區。 再呼叫

IFSMgrInstallSystemApiHook函式來取得IFSMgr的原先的服務程式的位址， 並設定最新的服務程式為病毒程式內部的程

式。再利用IFSMgr內部的函式把原先的FSD服務程式改為病毒程式內部的服務程式。以達到長駐及檔案處理優先控制權的

目的。這個電腦病毒程式的作者，最令人敬佩的就是他重新寫了一份屬於他自己的FSD檔案系統驅動程式。而不是像其它

的電腦病毒PE_CIH或是PE_ANXTY。POPPY。II直接利用IFSMgr的Ring0_FileIO的函式，來達成開檔、讀檔、寫檔、關檔的

動作。因為FSD屬於Windows95/98內部極深層的部份，不僅這方面的文獻或介紹極為罕見，而要作出這類高級的系統程式

需要相當強的電腦架構的知識，更要有即大的耐心才能忍受開發過程中電腦一次又一次的當機。

而當病毒取得Win95的FileIO的控制權時，每當Win95開啟任何一個檔案時，它會呼叫函式"UniToBCSPath" 來取得檔

案的路徑及檔案名稱，並檢查副檔名是否為"。EXE"?如果是，則把檔案的屬性設為"空屬性"，然候讀進DOS檔頭的40h 位

元。並檢查檔頭是否為"MZ"及位址3Ch處所指的位址是否為"PE\0\0"?，如果是，它會讀進原先的 PE檔頭，並找到最後一

個節區的位置，並改變這個節區的屬性為可執行及可讀寫，再加上病毒程式的大小，並計算新的病毒程式進入點， 再把

病毒程式加到檔案的最後，即達到感染的目的。

這個病毒程式的作者號稱，在DOS模式下達到檔案大小，日期不變不稀奇，在Windows95/98下要達到這個目的就不簡