石头病毒

“石头”病毒别名“大麻”病毒，英文名为“Stone”或“Marijuana”，是一种操作系统型病毒。它攻击软盘的引导扇区或硬盘的主引导区。当使用带毒软盘启动系统时，如果硬盘系统原来无此病毒，则在屏幕上出现“Your PC is now stoned!”字样并将病毒传染到硬盘中。此病毒破坏系统文件，破坏数据，并可能破坏硬盘的主引导记录，导致硬盘无法启动甚至无法进入硬盘。1

简介石头病毒是一种引导型病毒，该病毒是1988年在新西兰首先发现的，1989年下半年传入我国。用含有大麻病毒的系统盘启动系统时，有时会在屏幕出现。You PC NowStoned!”的字样，然后系统可以进入正常，也可能进入死循环，就必须重新启动，才能进入正常的DOS提示符状态。系统感染病毒后，如果用CHKDSK检查内存，会发现内存容量减少了2K字节。特别是随着被感染磁盘上存储文件的增加，会产生文件丢失、目录区混乱等现象。

石头病毒可传染所有的IBM-PC机及286、386等系列机和兼容机，而且和采用的DOS版本无关。当用带毒的系统盘启动时，磁盘首先被感染，然后对A驱动器中软盘只要有一次读写操作，就将其感染（只传A驱动器），属于一种恶性病毒。

构成石头病毒包括引导模块、传染模块和表现模块3个部分。

当使用带有石头病毒的软盘引导系统时，病毒的引导模块则被调入内存。病毒的引导模块调用它自己的传染模块。

石头病毒的传染模块分为两部分：第一部分用来传染硬盘，在引导模块执行时被调用；第二部分用来传染A驱动器中的软盘。这部分是在调用磁盘操作中断INTI3H时获得执行权的。但是，石头病毒不传染B驱动器中的软盘。

石头病毒的表现模块是在用感染了石头病毒的磁盘启动系统时，有八分之一的可能(即时钟技术后3位为000时)被调用，此时PC喇叭鸣响，屏幕出现“ Your pc is now stoned!"的信息，表明计算机系统已经感染了大麻病毒。2

引导过程在系统启动时，大麻病毒的病毒程序在正常的系统引导之前，先要初始化自身入口及需要的参数，并将全部病毒程序读入内存，以备执行，然后再去读正常的引导程序，进行正常系统启动。整个过程可大致分为

(1)系统启动，ROM BIOS不经校验，直接将已占据DOS引导扇区的病毒程序读入内存的0000：7C00H位置，并开始执行；

(2)病毒程序修改INTI3H入口地址,它将INTI3H的入口地址保存到0000:7C09H至0000：C0CH处；

(3)将病毒程序移到内存高端的2K的空间，并将系统的内存容量减去2K，以保护病毒程序长期驻留内存；

(4)修改磁盘中断INT13H的中断向量,使其指向病毒程序传染部分的入口,以便在读写磁盘操作时进行传染

(5)将正常的引导程序读到内存0000：7C00H处，若是硬盘启动，则读入的是转储在0磁0柱面7扇区中的主引导程序和分区表；若是软盘启动，则读入的是存在1面0道3扇区中的DOS引导程序，把控制权交给正常主引导程序或DOS引导程序，进行系统的正常引导。2

传染过程大麻病毒的传染模块的第一部分传染硬盘。它对硬盘的传染只在启动时进行，一旦启动完毕,它就只传染软盘。如果用带有大麻病毒的软盘启动系统时，若硬盘没有被传染，则传染硬盘。

大麻病毒传染硬盘的过程是首先读入硬盘的第一扇区，然后把第一扇区与病毒程序的前4个字节进行比较，若前4个字节相同，为EAO50000，则说明硬盘已被传染，不再进行重复传染。否则，说明硬盘尚未染上病毒而将被传染。

大麻病毒对硬盘进行传染时，首先将硬盘的主引导扇区的内容保存到0磁头0柱面7扇区，然后把硬盘的分区表移到内存高端病毒程序的后面，再把病毒程序和原硬盘分区表一起写到硬盘的第1扇区(主引导扇区)处。最后，将控制杈交还给正常的DOS引导程序。大麻病毒传染模块的第二部分传染软盘。当病毒驻留内存后，由于病毒程序已截获了中断INT13H，因而在读写软盘操作时,首先执行病毒程序的传染部分。大麻病毒传染部分首先判断是否所读的盘为A盘，然后判断A盘是否已传染过大麻病毒。同样是通过比较A盘引导区的前4个字节是否为EA05000来判断。如果不是，则进行传染，首先，将A盘的引导区写入A盘0道1面3扇区，然后将大麻病毒程序本身写入A盘的引导扇区，使A盘染上病毒。传染完成后病毒才执行正常的INTI3H中断程序。2

存储方式石头病毒的表现形式不明显，因此难以发现。石头病毒属于恶性病毒，它在软盘和硬盘上存储方式不一样。

对软盘而言，病毒程序存储在0面0道1扇区，并将原引导扇区的内容移到软盘的1面0道3扇区。

对硬盘而言，病毒程序存放在硬盘的第一物理扇区，即硬盘的主引导南区。石头病毒侵入硬盘以后，将原主引导扇区的内容移到了0柱面0磁道第7扇区内。由于普通格式化不能改变硬盘主引导区，因此，对硬盘进行普通的格式化，仍不能消除硬盘上的大麻病毒。

用户在采用消毒软件清除软盘、硬盘上的大麻病毒时，必须确保对软盘、硬盘上的数据无破坏作用，并且对大麻病毒进行彻底的消除。3

破坏作用石头病毒侵入计算机系统后，会造成较严重的破坏作用，其现象有：

(1)文件丢失；

(2)文件被破坏或文件残缺不全；

(3)机器不能启动；

(4)启动速度明显减慢。

大麻病毒程序中并没有独立的破坏模块，其破坏作用主要是传染病毒时，病毒程序本身侵占磁盘的引导扇区，而将原引导区迁移所造成的。2

本词条内容贡献者为:

王慧维 - 副研究员 - 西南大学