win32.xorala

傳播方式：檔案/網路

感染對象：PE格式檔案

關鍵字： Win32.Xorala;勞拉

依賴系統: WIN9X//NT/2000/XP作業系統

適用作業系統補丁版本：全部補丁適用

知識庫編號： RSV0511190

病毒別名：W32.Valla.2048（Norton）、W32/Valla.b(Mcafee)

win32.xorala，病毒。中毒表現是，系統不斷地出現檔案保護對話視窗。用安全模式和最後正確的配置的方法也不好使。應對方法是斷網進行全盤掃描，確認病毒後，用應急啟動盤查殺病毒。

瑞星的命名規則是WIN32平台的系統類病毒的病毒名前綴為：“W32”或“Win32”,DOS的系統類病毒是沒有病毒名前綴的。系統類病毒就是可以感染系統檔案（或執行檔/或PE格式檔案）的病毒，在DOS作業系統下就是感染.EXE、.COM等類型的檔案，在WINDOWS平台下就是感染.EXE、.DLL等類型的檔案。

只感染檔案的意思是，該病毒本身沒有獨立的病毒體，它只是一段代碼，它需要一個宿主檔案做為自己的寄生體，這種特性非常類似於自然界的病毒。當這類病毒感染檔案時，往往是將自身的代碼植入被感染檔案的體內，一般有四種方式：一是植入被感染檔案的尾部，然後修改檔案的程式入口指針，指之指向尾部的病毒體，這樣，被感染檔案運行時就會先執行病毒代碼。二是植入被感染檔案的中部，同樣是修改程式入口指針，使之指向病毒代碼。三是植入被感染檔案的頭部，這樣不用修改程式入口指針，被感染檔案運行時會直接執行病毒代碼。四就是CIH病毒使用的方法，將病毒代碼分散存儲到被感染檔案的各個節中，這樣被感染檔案將不會變大。?

“勞拉”病毒就是將自己放入被感染檔案的尾部，準確地說，它不是利用將自身代碼植入最後一個檔案節（節是WINDOWS檔案格式中的特定術語，是檔案存儲的邏輯的單位，每個節都有不同的作用，如代碼節中存儲的是程式的代碼，數據節存儲是程式的數據）,然後將“節”擴大的通用感染方法，而在被感染檔案尾部重新建一個新節，該節的名字是：“XOR”，節的內容是：

-= XOR 2009 Valhalla =- Assembled 1997 ..

Activated 07.2002 - devoted for peace and harmony in universe against war,

?racism, terrorism and cruel brutality .. Remember ..

Life is the most important thing - not money ..

It's time for a revolution NOW

這種節的信息，一般的用戶是無法看到的，需要藉助一些查看檔案結構的工具才能看到。但對於一般用戶來說，即使是看到該節也是沒有用的，因為系統類病毒是靠修改程式的入口指針來運行的，因此在將病毒節摘除的同時還需要將程式的入口指針改回，有時還需要重新計算程式的校驗和，因此手工清除該病毒幾乎不可能。

系統病毒的一般是通過用戶點擊第一個帶毒的程式檔案開始的。當用戶點擊該程式檔案後，隱藏在程式檔案體內的病毒代碼則最先得到執行，它執行後便會駐留記憶體，在記憶體中開闢一塊空間，該空間在關機前是不會被其它程式覆蓋的，然後病毒就會監控檔案的操作，一旦有讀檔案的操作，病毒便取得控制權，然後將自身代碼加入另一個程式檔案的體內，完成一次感染。

而病毒為了增加其隱蔽性，一般會在記憶體中放一個互斥量，避免病毒重複進入記憶體，而在被感染的目標檔案體內放一個感染變數，以保證只感染目標檔案一次。這樣病毒的每一次感染，用戶幾乎是無法查覺的。

四、 該病毒會使大量占用資源，使系統變慢。

一般的系統病毒是不會造成系統變慢的，因為編寫這類病毒的目的就是能大面積的感染而不被用戶覺察，因此這類病毒只感染目標程式一次，也只進行進入記憶體一次。而勞拉病毒的編寫時有缺陷，每一被感染的程式檔案啟動時，病毒就會被激活一次然後感染其它程式檔案，由於WINDOWS系統同時運行的可程式檔案數以千計，導致大量感染了該病毒的系統會變得異常緩慢。

4、 該病毒會使大量占用資源，使系統變慢。　一般的系統病毒是不會造成系統變慢的，因為編寫這類病毒的目的就是能大面積的感染而不被用戶覺察，因此這類病毒只感染目標程式一次，也只進行進入記憶體一次。而勞拉病毒的編寫時有缺陷，每一被感染的程式檔案啟動時，病毒就會被激活一次然後感染其它程式檔案，由於WINDOWS系統同時運行的可程式檔案數以千計，導致大量感染了該病毒的系統會變得異常緩慢。

從產品與技術角度來講，瑞星防毒軟體由於集成了“共享防毒”功能，該功能是瑞星獨有的專利技術，意思是在WINDOWS環境下，象EXPLORER這樣的被系統利用的檔案，用戶是無法手工刪除的，刪除時系統會提示該檔案正在被使用，無法刪除的信息，即使在這種情況下，如果該檔案感染了病毒，瑞星防毒軟體也可將該檔案中的病毒清除掉，而無需重啟計算機或到DOS環境下進行防毒。

。

任何一款防毒軟體都有漏報的問題，這其中可能是因為實時監控與檔案掃描引擎之間存在著同步問題，因此為了保證用戶系統的安全，當用瑞星最新版清除完病毒後，再掃描一下系統，看是否還有病毒存在。

在清除病毒的同時打開實時監控，或直接打開實時監控然後再進行病毒的清除，是正確的防毒方法，因為有許多的病毒都有網路特性，當你的計算機連網時，即使是完全清除了您計算機上的病毒，但隨著網路的連通，病毒仍然會沿著網線繼續進入到您的計算機中，造成清除完病毒後還有的現象。

而實時監控則解決了這一問題，實時監控可以隨時監控本系統的檔案，一旦發現有病毒闖入，則會直接將病毒攔截。

瑞星防毒軟體的記憶體監控尤為重要。它是直接監控記憶體，也是瑞星獨有的專利技術。由於有些病毒不形成檔案，只在記憶體之間進行傳播，象“紅色代碼”病毒，這時檔案監控就失效，而記憶體監控則能很好地攔截該類型的病毒。因此，打開實時監控是必要的。