DOS病毒复活 穿越者轻松突破主流杀毒软件

【赛迪网-IT技术讯】目前，主流计算机均使用64位CPU，操作系统逐步从32位升级到64位，新出厂的PC中大多安装了64位Windows 7。当人们认为16位程序（多是DOS程序）将消失时，病毒打破了平静。10月25日，金山毒霸安全中心监测发现一种16位DOS病毒复活，轻松穿越主流杀毒软件的防御。

这个被命名为DOS.StartPage.fk的程序每天感染超过2万台电脑，篡改浏览器图标，将主页锁定为42630.com网址导航站，病毒主要通过一些提供盗版影视剧下载的网站传播。

图1 病毒修改浏览器主页，创建桌面IE图标

目前，主流操作系统和应用软件多为32位程序（64位应用程序尚在逐步普及，未成为主流），16位DOS程序已非常罕见，金山毒霸安全中心因此将该病毒命名为“穿越者”。

病毒作者使用的编程工具也是被淘汰的Quick Basic，病毒作者将32位的执行程序封装在16位DOS程序外壳中，从而令主流杀毒软件防御系统完全不能侦测。杀毒厂商普遍认为DOS病毒已经消失，现有的防御系统，大多针对32位程序设计。

病毒为逃避查杀，在16位外壳程序运行后，会删除自身，增加杀毒软件追查样本来源的难度。结果倒霉的就是网民：用户会发现浏览器主页总被修改，用杀毒软件修复之后只能短期内有效，在下载盗版影视剧时，又会再次中招。

安全专家指出，由于该病毒突破杀毒软件的方法独特，短期内很可能有更多病毒尝试穿越到DOS时代。针对这个16位穿越者病毒的特殊作法，金山毒霸修改了现有防御体系，已可完全拦截穿越者病毒。当网民从带毒网页下载病毒时，也会立刻阻止。