WinNT.Infis病毒介绍

星星s

10月7日，一种新型的winNT病毒被发现，被定名为WinNT.Infis.4608。

这是一种文件型内存驻留型的病毒，仅在安装有Service Packs 2、3、4、5、6的Windows NT 4.0系统中传播，病毒不感染其它版本NT、Windows 95/98或Windows 2000的系统。病毒代码进行了优化，极其的短小。

表现

最主要的判断自己的NT系统被被感染的现象是一些程序不能运行，比如说MSPAINT.EXE,CALC.EXE, CDPLAYER.EXE等，运行时会出现标准的windows出错警告。这主要是由于病毒在传播时破坏了某些文件造成的


感染

当带有Infis病毒的文件被执行时，病毒将在目录 \WINNT\SYSTEM32\DRIVERS下，创建一个INF.SYS的文件，长度4608 byte。然后修改注册表，添加HKLM\SYSTEM\CurrentControlSet\Services\inf下：
Type = 1
Start = 2
ErrorControl = 1
这样当系统重启动后，病毒driver (INF.SYS) 将被自动加载，并驻留内存。

传播

病毒只感染PE格式的可执行文件，并不感染NT下的CMD格式的可执行文件。当文件被感染后，长度将增加4608 bytes。病毒通过修改date and time标记的方法，避免重复感染。

清除

由于病毒的是作为driver运行的，因此清除也相当的容易。简单的执行DeviceManager ，然后停止该driver的加载就可以了。对于已经被传播和破坏的文件，现在的办法还仅仅只能删除，或者用备份文件恢复。

危害

该病毒很大程度上是一种技术上的探索，因此并没有很大的破坏力。该病毒本身不带有破坏性的代码，但由于病毒代码的缺陷，在感染时会破坏一些执行文件，使之不能正常工作。

该病毒的直接威胁并不大，可怕的其实是对于人们心理的冲击。WinNT作为高端的操作系统，运行于需要更高安全性的场所，因此对于NT的安全性的挑战也就更加的引人注目。能够在NT系统下传播的病毒寥寥无几，而且全部是作为本地的service在user模式下运行的，但WinNT.Infis.4608是运行在kernel模式下的。在不久以前，反病毒专家们探讨过采用driver方式的病毒的可能性，但WinNT.Infis.4608的出现之快，还是令人震惊的。虽然这个病毒由于本身有着太多的bug，而很难广泛的流行，但提供了一种新的，也更加可怕的技术路线的实例。它的出现可能仅仅只是一个警告，可以预见的是，在不久的将来我们将要面对的是更加严峻的病毒形势。