用过Windows 9X的人都见过如下的提示信息:
Please wait while Setup updates your configuration files. This may take a few minutes...
在安装完某个软件或者硬件的驱动程序,应安装程序的要求重新启动Windows时,经常看到上述信息。我们往往认为这是Windows的正常活动,绝不会把它与病毒联系起来。本文将用事实告戒你:假如你的机器启动时无缘无故地出现上述信息,就要赶紧去找最新的杀毒软件了!
这时Windows在干什么呢?实际上它在执行Wininit.ini给出的指令。Wininit.ini是一个鲜为人知的文件,主要用于删除、更名和更新在Windows运行时不能被施以这些操作的文件。它存在的时间很短,所以显得有点神秘。
一、Wininit文件工作机制
众所周知,在Windows中,一个可执行文件假如正在运行或某个库文件(*.dll, *.vxd, *.sys等)正在被打开使用,则不能被改写或删除。例如:你不可能在资源治理器中删除\windows\explorer.exe。而在Windows的GDI界面下,有一些文件一直处于这种状态下,除explorer.exe外,还有显示驱动程序库文件、文件子系统库文件等,假如我们要对这些文件进行升级、改动,就必须在Windows保护模式核心启动前进行。于是Windows就提供了基于Wininit.ini文件的一个机制来完成这个任务。这个机制是:要删除或改写这类文件的应用程序按一定的格式把命令写入Wininit.ini;Windows在重启时,将在Windows目录下搜索Wininit.ini文件,假如找到,就遵照该文件中的指令删除、改名、更新文件,完成任务后,将删除Wininit.ini文件本身,继续启动过程。所以Wininit.ini文件中的指令只会被执行一次,列目录时也通常没有它的踪影。
Wininit.ini文件的格式简述如下:
Windows 95 Resource Kit提到Wininit.ini文件有三个可能的段,但只叙述了[rename]段的用法。虽然名为[rename],却可实现删除、改名、更新文件的功能。其格式为:
[rename] ...... filename1=filename2 ......
行“filename1=filename2”相当于依次执行“copy filename2 filename1”及“del filename2”这两条DOS命令。
启动时,Windows将用filename2覆盖filename1,再删除filename2,这就实现了用filename2更新filename1的目的;假如filename1不存在,实际结果是将filename2改名为filename1;假如要删除文件,可令filename1为nul,例如:
[rename] ...... nul=filename2 ......
将删除filename2。
以上文件名都必须包含完整路径。注重:由于Wininit.ini文件的处理是在Windows文件系统调入前,所以不支持长文件名。
Wininit.ini的应用很多,除了经常在软硬件的安装程序中用到外,还在软硬件的卸载程序中用到。比如:假设你要为自己的软件编写一个卸载程序,这个卸载程序本身是不可能被自己删除的,因为它试图删除自身时,自身却正在运行。为了清除卸载程序本身,你就得借助于Wininit.ini文件。顺便提一句,在安装Windows的最后阶段,就是利用Wininit.ini文件来清除和更名被安装程序SETUP自身使用的文件。
二、该技术在新的Windows病毒中流行
微机操作平台已经完成了从DOS平台到Windows平台的转移,不幸的是,大量出现的Windows 9X病毒标志着病毒也同样完成了这个转移。
Windows病毒在感染文件时,也碰到了这样一个问题:某些文件,因为系统正在使用,不能被改写、被感染。早期的Windows病毒如CIH病毒使用VXD技术来解决这个问题,这易造成系统不稳定。后期的病毒大多采用Windows提供的标准方法—Wininit.ini文件来解决这个问题,比如以下几种新出现的Windows病毒。
1.Win32.Kriz
该病毒又叫圣诞节病毒,内存驻留型,具有多形性。该病毒极端危险,在12月25日发作时将改写CMOS,覆盖所有驱动器上的所有文件,然后用CIH病毒中的同样程序破坏主板上FLASH BIOS。该病毒感染*.EXE(PE格式)和*.SCR文件,同时为了监控所有文件操作,它感染kernel32.dll,接管文件复制、打开、移动等文件存取函数。由于kernel32.dll文件在Windows运行时只能以只读方式打开,为感染它,该病毒将它复制一份,名为KRIZED.TT6,然后感染复制品KRIZED.TT6,写RENAME指令到Wininit.ini文件中,下次机器启动时,KRIZED.TT6将替代原来的kernel32.dll,完成感染。
2.Suppl.A 蠕虫
这是一个Word宏蠕虫,通过在发出的E-mail中插入一个特洛伊文档作为附件传播。当附件被打开时,病毒COPY文档到Anthrax.ini,把要展开的数据写到文件dll.lzh,并解压为dll.tmp,以上文件都放在Windows目录下。下一步这个蠕虫创建一个具有如下内容的Wininit.ini文件:
[rename] null=C:\Windows\DLL.lzh C:\Windows\System\Wsock33.dll= C:\Windows\System\Wsock32.dll C:\Windows\System\Wsock32.dll= C:\Windows\DLL.tmp
第一行是删除dll.lzh,第二行是把原wsock32.dll改名为wsock33.dll,第三行则把dll.tmp改名为wsock32.dll。下一步启动时,这些指令将生效。这样,wsock32.dll就被感染了。利用它,蠕虫就可监控外发邮件,一旦发现外发邮件,蠕虫就自动把特洛伊文档作为附件加到该邮件中进行传播。感染7天后,该病毒将把硬盘上所有以DOC、XLS、TXT、RIF、DBF、ZIP、ARJ、RAR为扩展名的文件长度置为0,从而破坏所有的数据文件。