PE_Zerg利用 FSD(FileSystemDriver)方式长驻的电脑病毒，就在PE_CIH电脑病毒仍高居各家防毒软件客户反应的榜

首时，另外一只更厉害的电脑病毒又出现了。这只最近在各NEWS论坛讨论极多的病毒就是PE_Zerg电脑病毒。据此病毒作

者所宣称的，它不仅是PE_CIH电脑病毒长驻方式---利用SIDT指令取得IDT位址，的首位发现者，并创出比IFSMgr(档案系

统管理员)更深一层的FSD(档案系统驱动程序)的方式，来感染PE(Windows95/98执行档)档案，企图避过防毒软件的拦截。

电脑使用者需随时注意各家防毒软件发布的病毒警讯并经常上网更新扫毒程序及病毒码。

[病毒的感染方式及特征]

当一个被感染的。EXE在使用者的系统执行时，它会先检查您的作业系统是否是Windows95/98。如果不是，可能是Wi

ndowsNT，它就只执行原来的程序而不作任何事。如果是，它就先利用SIDT指令来取得IDT的起始位址。并更改INT0(Divi

deOverflow)的位址成为病毒程序内部的位址，以达到由Ring-3应用程序转换到Ring-0系统程序的目的。在病毒的INT0服

务程序中，它会先呼叫IFSMgr_GetHeap函数来取得系统记忆体分配的区域，再把病毒程序复制到系统记忆体区。 再呼叫

IFSMgrInstallSystemApiHook函式来取得IFSMgr的原先的服务程序的位址， 并设定最新的服务程序为病毒程序内部的程

式。再利用IFSMgr内部的函式把原先的FSD服务程序改为病毒程序内部的服务程序。以达到长驻及档案处理优先控制权的

目的。这个电脑病毒程序的作者，最令人敬佩的就是他重新写了一份属于他自己的FSD档案系统驱动程序。而不是像其它

的电脑病毒PE_CIH或是PE_ANXTY。POPPY。II直接利用IFSMgr的Ring0_FileIO的函式，来达成开档、读档、写档、关档的

动作。因为FSD属于Windows95/98内部极深层的部份，不仅这方面的文献或介绍极为罕见，而要作出这类高级的系统程序

需要相当强的电脑架构的知识，更要有即大的耐心才能忍受开发过程中电脑一次又一次的当机。

而当病毒取得Win95的FileIO的控制权时，每当Win95开启任何一个档案时，它会呼叫函数"UniToBCSPath" 来取得档

案的路径及档案名称，并检查副档名是否为"。EXE"?如果是，则把档案的属性设为"空属性"，然候读进DOS档头的40h 位

元。并检查档头是否为"MZ"及位址3Ch处所指的位址是否为"PE\\0\\0"?，如果是，它会读进原先的 PE档头，并找到最后一

个节区的位置，并改变这个节区的属性为可执行及可读写，再加上病毒程序的大小，并计算新的病毒程序进入点， 再把

病毒程序加到档案的最后，即达到感染的目的。

这个病毒程序的作者号称，在DOS模式下达到档案大小，日期不变不稀奇，在Windows95/98下要达到这个目的就不简

单了，这个电脑病毒程序是第一个。的确，如果你的电脑系统已经被这个病毒攻占了，则不管你是用DOS的 DIR指令，或

是档案总管，或是其它的档案管理工具软件，看到的已被感染的程序档案的大小，日期，内容，都是和原来相同的。 因

为当你查询这个档案时，长驻的病毒程序就会把真正的资料传送给你，以达到欺骗(Stealth)的目的。只有当你用 DOS重

新开机时，才可以看出来原来的档案已被感染，而且长度增加约3，850位元组。 而且如果你用系统的寻找功能去寻找这

些被感染的档案的话，都会发现有"Zergv0。1Beta"的字串。

[病毒的破坏性]

实际上，这只病毒程序并不会杀任何档案，也不会造成任何的破坏， 作者的目的只是在证明他能够写出一只技术如

此高深的电脑病毒程序，让各家防毒软件束手无策而已。但是，事实上因为这个电脑病毒程序如此特别， 使用到系统内

部许多未公开的函数，以致和系统不是完全相容。 在某些使用Windows95/98的机台上，都有遭感染后，系统出现乱码或

是当机的现象。尤其是有安装S-iceWindows95/98版的使用者，都发现有许多怪现象。

[如何得知我的电脑是否已被这个电脑病毒感染]

最简单的方式是利用系统寻找档案的功能。如果有找到任何的。EXE档案中含有"Zergv0。1Beta"的字串， 尤其是用

e-mail传送进来的PE格式的。EXE档案或是由internet下载的。EXE档案就表示你的电脑已经被这只电脑病毒进入了。 如

果这个档案曾经被执行过，则您的电脑被感染的机会就很大了。再者，或是你觉得电脑今天怪怪的， 以前都还好好的，

那你最好还是用DOS重开机或是由Windows模式进入纯DOS模式。再用DOS版的字串寻找软件，寻找是否有"Zergv0。1Beta"

字串在。EXE档案中。如果有，那就表示你的电脑被这只电脑病毒感染了。如果没有，那你可以庆幸没有遭受这只电脑病

毒的侵袭。或是利用DEBUG工具程序或是二位元编辑程序来检查副档名是。EXE的档案。 检查它是否是MZ档头而且在位址

0x12即CheckSum的地方的值是不是0x530x44(SD)，如果是那表示这个档案已被感染了。

[如果档案或电脑已被病毒感染，如何清除？]-选择正版的防毒软件

如果档案已被感染，您可以利用DOS的DEBUG。EXE工具程序或是利用二位元档案编辑程序来找到档案中"6A009C60E80

00000"起，再加上位移0xD9B的地方，而且它就是原来档案的MZ档头。而且它之前的6个位元组是"0x400x000x000x000x00

0x00"。前面的两个位元组表示是待会要搬动的资料长度是0x0040个位元组。而其它的 4个位元组表示待会要搬回去的位

址是0x00000000。然后这个位址再加上0x40及0x06，即可看到"PE\\0\\0"。而且它之前的6个位元组是"0xF80x000x800x000

x000x00"。前面的两个位元组表示是待会要搬动的资料长度是0x00F8个位元组。而其它的4个位元组表示待会要搬回去的

位址是0x00000080。

然后这个位址再加上0xF8及0x06，即可看到"。reloc"(在某些档案可能是别的字串)。它存放的是各个档案原来最后

一个节区的名字。它之前的6个位元组是"0x280x000x400x020x000x00"。 (在不同的档案，最后一个节区的位址可能有所

不同)。前面的两个位元组表示是待会要搬动的资料长度是0x0028个位元组。 而其它的4个位元组表示待会要搬回去的位

址是0x00000240。在把上述的三个资料区搬回去之后，再把档案中 "6A009C60E8000000"起的所有资料砍掉，剩下的长度

就和原来的长度相同。如果你拿原来的档案和清除完病毒之后的档案作比较的话，或是用"FC/B"指令来作比较， 你会发

现清除之前和之后的PE节区的CheckSum资料不同。以及Relocation(重定址)的部份资料有所不同， 但这些并不影响原来

程序在Windows95/98下的执行。这样，已经完成档案清除的所有程序了。事实上，这些动作需要相当深厚的电脑知识，

以及丰富的电脑操作经验。而且如果电脑中中毒的档案相当多的话，清除起来将相当耗时且烦重。 不如选择正版的防毒

软件来帮你的电脑作自动扫毒，自动清毒的工作。

[结语]

随着32位元电脑病毒的增加，再加上这些作者都把他们的原始程序码公布在某些网站上， 无疑的，鼓励了许多原本

只是好奇的使用者，变成是新的电脑病毒变种程序的作者。而且现在Windows95/98的使用者越来越多， 针对32位元做作

业系统的病毒程序也越来越多了。所以只要你是Win95，Win98，或WinNT的使用者都一定要小心这类病毒程序的侵袭。以

免硬盘资料被毁，再后悔就来不及了。所以采用正版的软件，并选择一套好的防毒软件， 并且养成定期或定时扫描硬盘

的习惯，并且对于由E-mail传进来的档案，或是 Internet/BBS下载下来的档案，必需先扫描无毒再使用的习惯，不仅可

以避免自己的电脑遭受病毒的感染，也可以防止病毒的流传。