内容发布更新时间 : 2025/4/27 15:04:27星期一 下面是文章的全部内容请认真阅读。

WINDOWS系统的BAT文件也是可执行文件类型之一，计算机病毒也经常会修改这些文件，来实现病毒传播和例如：

%windows%winstart.bat

该文件在每次系统启动时执行，只要在该文件中写入欲执行的程序，该程序即可在系统启动时自动执行。 还有Autoexec.bat 在DOS下每次都会自启动执行。 所以，这类文件在我们平常的系统维护中，也得特别注意。

2.2.4 修改启动文件夹

毒修改系统启动文件夹有以下两种方式： 1、当前用户的启动文件夹 可以通过如下注册表键获得:

SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 StartUp 项

2、公共的启动文件夹 可以通过如下注册表键获得:

SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的 Common StartUp 项 病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。

2.3 常见病毒行为

病毒感染系统后，无疑会对系统做出各种修改和破坏。有时病毒会使受感染的系统出现自动弹出网页、占用高式如何，我们都需要关注的是病毒的隐性行为！

2.3.1 计算机病毒的下载特性-Downloader 如大水牛下载者病毒

计算机病毒非常喜欢修改系统的启动文件夹，将病毒的快捷方式加入启动文件夹，以实现随系统自动启动的目的

过高内存资源、自动弹出/关闭窗口、自动终止某些进程（特别是反病毒软件进程）等各种不正常现象。无论病

很多木马、后门程序间谍软件会自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本

当系统中此病毒后，病毒会自动下载病毒列表到%SystemRoot%system32nwizs.txt ，通过此列表下载的病毒会被再下载其他的计算机病毒文件。 大水牛病毒下载列表里面就包含： microsoft.exe （机器狗，专杀能清除） hosts.exe (是hosts 文件里面免疫了好多网址) arp.exe（大水牛下载者病毒最新程序）

cq.exe （里面包含黑客木马fei.exe和传奇盗号器lj.exe） wow.exe （魔兽盗号木马）

ddos.exe （DDOS 工具，会攻击文件中自带的config.txt 里指向的所有地址）

在%UserProfile%Local SettingsTemp 目录下。然后自动连接病毒下载列表的下载地址：http://520sb.cn/dir/ind??_

2.2.3 计算机病毒的后门特性-Backdoor

有时候病毒还会自动连接到某IRC站点某频道中，使得该频道中特定的恶意用户远程访问受感染的计算机。 如灰鸽子病毒

然后，通过控制端，对中毒机进行远程操控。

2.2.4 计算机病毒的信息收集特性-Stealer SMTP引擎发送到指定的某个指定的邮箱。 如：

QQ密码和聊天记录 网络游戏帐号密码 网上银行帐号密码

用户网页浏览记录和上网习惯 ……

这段时间流行比较厉害的相关的盗号木马，都具有信息收集的特性。

2.2.5 自身隐藏特性-Hide & Rootkit

显示权限等进行修改，以使其更加隐蔽不易被发现。

更有一些病毒会使用Rootkit技术来隐藏自身的进程和文件，使得用户更难以发现。

2.2.6 文件感染特性-Infector

正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。 有的文件型病毒会感染系统中其他类型的文件。

这类病毒的典型例子就是：PE_LOOKED 维京、PE_FUJACKS 熊猫烧香、机器狗病毒和磁碟机病毒。

2.2.7 网络攻击特性-Attacker

在受攻击的计算机上远程执行恶意代码。

后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口，允许远程恶意用户来对该系统

当系统在中毒之后，中毒机会自动将系统的相关资料，如IP地址，端口号，键盘记录等资料，发送到木马控制

大多数间谍软件和一些木马都会收集系统中用户的私人信息，特别各种帐号和密码。收集到的信息通常都会被病

多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性，更有一些病毒会通过修改注册表来实现对系统的文

使用Rootkit技术的病毒，通常都会有一个.SYS文件加载在系统的驱动中，用以实现Rootkit技术的隐藏功能。

文件型病毒的一个特性是感染系统中部分/所有的可执行文件。病毒会将恶意代码插入到系统中正常的可执行文

一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行攻击，从而导致受攻击的计算机出现各种异常现象

一些木马和蠕虫病毒会修改计算机的网络设置，使该计算机无法访问网络。有的木马和蠕虫还会向网络中其他计如振荡波病毒、狙击波病毒，ARP攻击等。

大量数据包以阻塞网络，甚至通过散步虚假网关地址的广播包来欺骗网络中其他计算机，从而使得整个网络瘫痪