1091病毒的内部剖析

笔者最近在机器上发现一种怪现象,用DIR等读盘命令时,屏幕出现严重的抖动现象并拌有不规则的读盘声音,便怀疑是病毒作怪。使用KV300(B+)没发现病毒,但仍不放心。于是重新用干净的系统盘启动,然后用DEBUG去查看COMMANDCOM(DOS6。22)。果然发现有一段外壳程序,但是用DEBUG是不可能跟踪的,选用SOFT—ICE来跟踪它,才发现这是一个设计巧妙的病毒程序。 该病毒属于文件型外壳病毒,属于恶性病毒,它修改DOS中断,降低系统速度,更严重的是,当有读盘动作时,便触发病毒,感染当前工作路径下所有的COM和EXE文件。虽然此病毒长度为443H(1091)     

1091病毒的检测与删除

最近,我们单位出现一种新病毒,用CPAV和SCAN都不能发现它,我对它进行了分析,成功的杀灭了该病毒.因该病毒长度为443H字节,故称其为1091病毒.病毒修改COM文件头的11字节为远跳转指令,使病毒代码首先得到执行,并把原文件头的11字节存入病毒偏移11FH处,对EXE文件,则修改文件头的SS,SP,CS,IP使其指向病毒体,并把原文件头的11字节存入病毒偏移11FH处.病毒代码一运行,首先检测内存有没有驻留该病毒,如没有则把DOS可用内存减少2K字节,并把自身驻留于内存高端,同时修改24H,21H号中断,使其指向病毒内部代码.因此每当运行DIR命令时,病毒开始传播.     

新型病毒1091／DA01的分析,检测及清除

本文介绍一种具有“反”反病毒意的计算机病毒（１０９１／ＤＡ０１），描述其基本现象简单分析其传播机制，在此基础上给出检测，清除和免疫的方法，最后附有使用ＤＥＢＵＧ工具清除的示例及Ｃ语言源程序。     

“爱虫”病毒分析及杀毒

5月4日,一个小小的爱虫病毒搞得世界沸沸扬扬的,许多大公司大企业以及政府部门的电脑纷纷中毒,损失的金额数以亿计,数以万计的电脑瘫痪,连号称电脑王国的美国,也深受其害。世界媒体这一段时间以来,报导得最多的是“爱虫”病毒,这个病毒备受人们“关注”,真是过街老鼠,人人喊打!由于中国正好处于“五一”七天长假当中,加上宣传及时,损失不大。 “爱虫”病毒与前一段时间的“梅莉莎”(作者已被捉)病毒一样,都是以互联网中邮件为传播媒体,为蠕虫式病毒,该病毒感染安装了Windows Scripting Host(WSH)的WINDOWS 9X或NT系统,而此系统是WINDOWS9X系统正常缺省安装时已安装的,读者可自行查看自己电脑中“控制面板”→“添加/删除程     

新型网络病毒—红色代码病毒的分析和防范

“红色代码”病毒利用IIS的idqd.dll缓冲区溢出漏洞传染Web服务器，具有拒绝服务攻击的功能，通过调协特洛伊木马可完全控制被感染的Web服务器，本文讨论了其运行机制以及检测和清除方法。     

1349病毒分析

近日发现一种新病毒,用公安部KILL77和McAFee的SCAN117等查毒软件不能发现该病毒,于是对该病毒进行了分析,弄清了病毒程序的执行过程.一、传染机理该病毒长度基数为545H(1349)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6AH节(1696字节),然后驻留内存,地址从CS:0100开始.CS:0000——CS:00FF为病毒运行的数据区.用PCTOOLS看内存容量时,内存总量减少2KB.病毒驻留内存后更改INT21H(DOS功能调用)为XXXX:0287H,更改INT 1CH(时钟中断)为     

一个病毒代码采集程序

由于病毒消除软件的滞后性,当一种病毒刚刚出现时,往往没有相应的消除它的软件与方法.因此,一旦发现机器染上未知病毒而手工及已有软件都无法消除它时,最佳消毒方法莫过于自己动手采集病毒代码,对病毒进行剖析,然后编制相应的消除程序消毒.本文提供的程序getv.e可采集一切附于exe类文件尾部的病毒代码.采集方法是:将该程序编译成可执行文件getv.exe,让它染毒,然后在DOS命令行以getv(其中file-name指定存放病毒代码的文件名)的格式运行.染毒后的getv.exe运行在屏幕上显示自身的原文件头和被病毒改     

DEMOCRACY病毒分析

笔者用公安部KILL70查毒软件检查一张软盘时,发现有几个文件含有DEMOCRACY病毒,杀毒后文件不能运行,于是对病毒进行了分析,基本弄清了病毒原理,现介绍如下.传染机理该病毒有效长度为OEB7H(3767)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,利用DOS中断调用的48H号功能,申请一块大小为FOH节(3840字节)的内存,然后驻留内存,用PCTOOLS看内存容量时,内存总量并不减少,但可用内存减少3840+16字节.     

一般性计算机病毒代码分析和检测方法

一般性计算机病毒代码依赖于系统特殊的API函数进行感染、传播和隐藏,并使用多种代码保护机制,给病毒代码的查杀带来较大的不便。通过长期的查杀实践,总结出了一般性计算机病毒代码的分析和检测方法。     

“子母弹”病毒Demiurg

病毒的种类、传染和攻击的手法越来越高超,一种流传到国内的“子母弹”病毒Demiurg,被北京江民公司反病毒应急中心捕获。该病毒被激活后,会像“子母弹”一样,分裂出多种类型的病毒来分别攻击并感染计算机内不同类型的文件。     

为何病毒无处藏身

在系统开放、资源共享的情况下，计算机病毒的检测和防治确实十分困难。企图从程序外观来准确判定病毒程序是不可行的。病毒也是一种功能程序，它具有的种种功能，本来就是系统所提供和支持的。因此病毒行为的检测，就变成了程序调用的合法性和非法性的定义，并检测出其间的区别。     

Greeting病毒分析及清除

文中描述了一种新发现的文件外壳型病毒，并结合此类病毒共有的特点对其进行了详细的分析，最后给出了检测及清除的方法。     

病毒也疯狂

为了毕业论文,你已经几天没合眼了,就差最后一哆嗦时,电脑突然一片漆黑;下午有个重要会议,你提着装有全部资料的电脑走进会场时,电脑突然莫名其妙地跟你玩起没完没了的心算游戏有人说,电脑病毒最大的恼人之处在于它的“来无踪影”。病毒果真如此可怕吗？ 计算机病毒（Ｃｏｍｐｕｔｅｒ　Ｖｉｒｕｓ）是指编制或者在计算机程序中插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性几大特点。传染性指病毒对其他文件或系…     

病毒问题——2003年第9期题解

问题描述见杂志2003年第9期算法分析本期问题可以描述为:给定某一串集,试判断是否存在一条无限长的不含有该集合中任一串的串。该问题由于使用了“无限长“这种概念,故无法从整体上考虑该题的解答。我们应该从该题的一个部分或类似的问题入手。先考虑判断某一段有限代码ala2…ak是否安全的方法。最直接的方法就是对于每个病毒串,判断代码串中是否含有该病毒串。不过这种方法很明显包括了大量的重复判断。通常情     

1786病毒的分析与清除

朋友送来一含病毒的程序,称用SCAN116,CPAV2.0,KILL70.01,CLEAR0.9均查不出任何结果,但是CLEAR发出警告说内存已经被未知病毒感染.经过仔细研究,发现该病毒有两个特点:1、运用了一种较为先进的后跟踪手段一逆指令法,简单地说,就是将指令的执行方向由从前向后改为从后向前,利用INT01单步中断的特性,每执行一条指令后,进入单步中断处理程序,将病毒的后续指令移至CS:IP所指向的地址,然后中断返回.直至所有的逆指令均已运行完毕.     

围剿“红色代码”病毒

红色代码病毒及其变种利用微软WEB服务器IIS 4.0或5.0中的一个安全缺陷,攻破计算机系统,并通过自动扫描感染方式继续传播蠕虫,造成大量WEB服务器因遭受攻击而瘫痪。而且最新的红色代码变种——红色代码Ⅱ更是会在被感染的系统上放置后门程序,从而给被感染系统带来极大的系统安全隐患。红色代码病毒影响以下的计算机系统:安装有IIS 4.0或者IIS 5.0且未打补丁的Windows NT 4.0和Windows 2000。