恢复感染DIR—2病毒文件的方法

DIR—2病毒的宿主是可执行文件,当运行了带毒的文件后,其病毒部分驻留内存,并感染默认目录及根目录下的.EXE、.COM文件,染毒文件的长度、日期均不改变。它不寄生在染毒的文件上,而是隐藏在磁盘的最后两个簇上,通过修改被感染文件的首簇号使之指向磁盘的最后两个簇。实现对可执行文件的感染。该病毒传播迅速、破坏性大,用KILL、SCAN等清毒软件均可检测出来,但用它们清除病毒时,它     

INOC病毒的解密与消除

本系近来遇到一种新病毒,其现象是感染“.EXE”文件和长度不大于2048字节的“.COM”文件(但不感染COMMAND.COM),感染后长度增加1787～1833字节。用美国的CPAV1.4和MCAFEESCAN113等均无法检测出来;用冰岛大学推出的F-PROT软件可以检测出文件感染了名为“INOC”的病毒,但无法清除,只能把被感染文件改名(“.COM”改为“.VOM”;“.EXE”改为“.VXE”)。运行了带毒程序后,用MEM或MI命令可以看到病毒已用该程序的名字驻留内存,占用2288字节,并截取了INT 2F中断。此外该病毒还有一个特殊现象;若是被感染的文件名为SCAN.EXE,那么运行该文件时屏幕上将会显示出如下一段信息:     

一种新的DOS病毒——新世纪病毒

最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件     

对2048LH病毒的消除

《电脑》1994年第11期曾介绍一种2048病毒,该病毒只感染EXE文件,而不感染COM文件.本人最近发现一种病毒,用Cpav、kill62软件不能发现和消除,被感染病毒的文件大小增大2048字节左右,为区别起见,暂称该病毒为2048LH病毒,该病毒属于文件型病毒,专门感染COM和EXE文件,但不感染command.com文件,当该病毒驻留内存后,用Pc-tools或Chkdsk检测,可发现内存减少2K.     

DIRⅡ病毒的检测和清除

DIRⅠ病毒驻留在磁盘的最后一个可用簇,驻留长度为1024字节,并在磁盘文件分配表FAT中将该簇标为FEFF(软盘有所不同)。该病毒首先感染COMMAND.COM文件,此时一旦执行DOS的DIR命令,病毒即进入内存,从而感染当前目录中的可执行文件(.EXE和.COM文     

警惕Format—1999病毒

Format 1999是近期较流行的一种恶性病毒,这种病毒发作起来就象破坏机器一样,会把整个硬盘的数据毁掉,本文就来揭示Format 1999病毒可憎的真面目.一、病毒的基本特征Format 1999病毒传染EXE和COM可执行文件,每个被感染的文件增长3184到3214个字节不等.对于一个文件型病毒来说,3K的长度算是比较大的规模了,在这3K字节中,Format 1999病毒不仅在驻留方式有其独特之外,它还花了大量功夫在它的破坏作用上,它在不同的条件下采用两种不同的破坏方式,发作时毫不掩饰自己的行动,并声称自己为“变态杀人狂(amuck)”.Format 1999病毒在系统查找匹配文件时会修改被感染文件的长度值,使得用DIR命令列目录时无法发现文件长度的变化,另外病毒把每试图     

1099病毒的检测及清除

1099病毒是一种文件型病毒,攻击扩展名为EXE和COM的可执行DOS文件。该病毒代码长度为1099字节,故称其为“1099病毒”。1 1099病毒感染文件的特点及危害性 该病毒不感染长度低于2KB的文件。病毒代码附着在被感染文件尾部,文件长度增量为1099B 1～16B。原因是该病毒总是将自身复制到原文件末尾之后的第一个节地址(即能被16整除的磁盘地址)处,而在病毒体首字节与原文件末尾之间任意填充内容,导致文件长度增     

1150／Burglar病毒的分析与清除

近几个月,笔者在上机时,机器常出现死机现象,检查文件发现EXE文件无故增长1150字节,确认感染病毒,但使用KILL76.02、KV200(J)和CPAV2.0均不能查解,经分析发现为新病毒,定名为1150/Burglar病毒。分析与消毒方法如下。 1.病毒特性 参见附表,该病毒为常驻内存的文件型病毒,感染EXE文件,修改原文件的文件头,病毒体追加在EXE文件的尾部。当染毒文件运行时,病毒首先使用DOS功能调用的扩展功能F0H来判断病毒是否已驻留内存,调用返回AX寄存器,如AX=0,则表明病毒已驻留内存,病毒恢复原EXE文件的IP、CS、SS,运行被感染文件,反之,则先驻留病毒自身,再恢复执行染毒文件。     

934病毒的检测与消除

(1)病毒发作特征:运行934病毒感染的文件时,系统进入图形状态,驻留内存;PCTOOLS及MEM.EXE不能发现内存减少。 (2)病毒感染特征:只感染COM文件,感染文件长度增加3A6H(934)字节。 (3)病毒感染过程:将3A6H(934)字节长的病毒代码附在COM文件尾,将原COM文件开头4字节移到病毒代码偏移OBH处,即带毒文件长度减29BH偏移处;COM文件开头置跳     

713病毒的分析与清除

近来,本校流行一种新的病毒,用cpav、scan、kill(各种版本)、duchv、ve多种消毒软件均不能正确检测与消除.这种病毒具有系统引导型病毒和外壳型病毒的特点,不但感染硬盘主引导,而且感染EXE文件及COM文件.由于此病毒发作时间为7月13日,因此暂且把命它名为713病毒.下面先对其进行分析,再给出消除方法.一、病毒的引入机制1.可执行文件中病毒的引入     

病毒防疫站

病毒介绍:该病毒别名为Kriz.3862,是多态型病毒,主要感染PE EXE文件并能驻留内存。当病毒驻留内存时打开任何应用程序文件都将被其感染,且只要扫描文件就将感染。此病毒包含一个十分危险的硬驱动和覆盖CMOS的子程序,在12月25日将被激活。发作时将试图擦除CMOS信息,试图直接擦除硬盘扇区,并用垃圾信息填充Flash BIOS(针对某些类型的BIOS),最终不仅导致机器无法启动,甚至     

由一例病毒分析看Novell网的漏洞

近几个月来在我们的Novell网上发现有些.EXE文件长度增加,少数程序不能执行,DOS报告是EXE文件出错。经分析,原因是染上了病毒,由于该病毒末尾有CRACK NOVELL字符,又利用Novell的一个漏洞对Novell网安全性构成威胁,故暂命名为Crack Novell病毒,该病毒用SCAN CPAV KILL KV300 AV95等均查不出。 该病毒只感染EXE文件,链接于文件尾部,驻留内存后在运行文件时感染。文件被感染后,文件头中的文件长度,文件字符累加和及初始IP CS值被改,文件增长1024～1039不等。由于病毒无表现模块,若不注意,较难发现。 此病毒的特点在于对Novell网安全性的破坏。病毒通过修改MCB链驻留内存高端后拦截了INT 2IH的4BH子功能     

1150病毒及解毒程序

1150病毒是一种最近发现的新型病毒,用公安部的KILL76.3或超级巡警KV200 J版皆不能找出和清除这个病毒。病毒的特征是封锁计算机的上部内存,使上部内存区UPPER MEMORY为零,WINDOW不能运行。虽然该病毒只感染EXE文件,但是它的感染力很强。在硬盘上不论哪一个分区,哪一个子目录的DOS格式的EXE文件,不论运行与否,都可能被它找到并感染。特别是EMM386.EXE     

930／3A2病毒的检测和清除

笔者在单位的微机上发现一种新病毒,这种病毒只感染可执行文件(.COM和.EXE),用当前的CPAV、MSAV和SCAN均不能发现该病毒,唯有“超级巡警”KV200能够发现,但不能清除它.该病毒代码长为898个字节,对可执行文件传染后,文件字节增加930个字节,故称之为930/3A2病毒.     

神秘的3783病毒

最近,笔者发现了一种新的病毒,用目前常用的KV300、VRVNT、KILL等杀毒软件均不能发现和清除,因其感染EXE和COM文件时,使文件长度增长3783字节,故取名为3783病毒.它是一种两栖型(又称混合型)病毒,它既是系统型病毒,感染硬盘主引导扇区(即0道0头1扇区)和软盘的逻辑0扇区,又是文件型病毒,专门感染EXE文件和COM文件.3783病毒的神秘之处在于以下几点:其一,3783病毒感染硬盘和软盘时,病毒的首语句是JMP 013E(EB 3C),特别是软盘的逻辑0扇区,DOS 5.0以上版本的引导程序的首语     

一种新型计算机病毒的分析和诊治

笔者最近发现了一种新的良性计算机病毒，用现有的CPAV，SCAN等反病毒软件都不能诊治。感染该病毒的程序比原来增加了1465个字节，因而笔者称这种病毒为1465病毒。分析了核病毒的程序后，用C语言编制了诊治该病毒的程序。1465病毒附在COM和EXE文件的后部。运行有毒文件时，首先执行病毒部分。病毒先检查对号中断，如果对号中断已感染病毒，则执行文件的正常部分；如果对号中断未感染病毒，刚修改对号中断，使其附有1465病毒，并感染COMMAND．COM文件。在内存感染的情况下使用DIR命令，感染相应的COM和EXE文件，并显示文件原来…     

电脑病毒及其后遗症的治理

友人新购一台586型的多媒体家用电脑，不幸感染病毒，主要表现在：1）COM、。EXE文件，不论是复制，还是运行，其长度都会自动增加4O00字节。2）多数软件，运行速度比认前减慢；有些程序不能运行，甚至还有个别程序，一运行就死锁，根本无法解脱，非得要你重新启动不可。（3）运行硬盘上的杀毒软件时，对同一个文件，反复显示“发现病毒、杀死病毒……”的字样，导致系统陷入死循环状态。（－》首先检测系统内存是否感染病毒杀毒软件无法正常工作，多半是由于系统内存感染病毒所致。直接运行UCDOS6．0所配套的内存病毒检测程序CHKVI…     

1091病毒分析

该病毒用公安部的KILL 70.01和 McAFee的SCAN117等查毒软件均不能发现,对该病毒进行了分析,发现该病毒很类似1099(Random-formatting)病毒.可以说是其一个变种,正因为如此,一些清毒软件将其误认为1099病毒,产生误动作,将染毒文件弄得无法恢复.所以有必要对该病毒代码的执行过程介绍一下,希望能对大家有所帮助.传染机理:该病毒长度基数为443H(1091)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6EH节(1760字节),然后驻留内存,地址从CS:0100开始.0054:0000开始的一段内     

3072病毒的分析与清除

1、简述笔者遇到一种复合病毒,类似米氏病毒,既可传染硬盘主引导程序,又可传染可执行文件(.COM,EXE),只是因为对.COM文件,其长度增加3072字节(C00H),对.EXE文件,其长度增加3072-3090字节,故暂名为3072病毒,用SCAN V117和KILL V77均不能杀死.该病毒不传染软盘BOOT区,但传染性较强.加载运行及内存有毒的情况下进行目录搜索,均可实施传染.2、表现方法(1)键盘随机锁定,或字母为大小互变,上下档互交.PUSH DSXOR AX,AXMOV DS,AXMOV WORD PTR[0417],0091POP DS     

防范"熊猫烧香"

近一段时间．一个属于威金的最新变种蠕虫病毒——“熊猫烧香”在互联网上疯狂肆虐．这种病毒以“熊猫烧香”头像作为可执行程序的图标．诱骗用户双击执行。不幸中招后．计算机中的所有，EXE文件都会被自动感染病毒．而且被感染的程序图标统统变成“熊猫烧香”标志。许多杀毒软件根本杀不死该病毒，一旦中招多数人往往只能“忍痛割爱”地将硬盘中所有程序文件全部删除。