共查询到20条相似文献,搜索用时 31 毫秒
1.
本系近来遇到一种新病毒,其现象是感染“.EXE”文件和长度不大于2048字节的“.COM”文件(但不感染COMMAND.COM),感染后长度增加1787~1833字节。用美国的CPAV1.4和MCAFEESCAN113等均无法检测出来;用冰岛大学推出的F-PROT软件可以检测出文件感染了名为“INOC”的病毒,但无法清除,只能把被感染文件改名(“.COM”改为“.VOM”;“.EXE”改为“.VXE”)。运行了带毒程序后,用MEM或MI命令可以看到病毒已用该程序的名字驻留内存,占用2288字节,并截取了INT 2F中断。此外该病毒还有一个特殊现象;若是被感染的文件名为SCAN.EXE,那么运行该文件时屏幕上将会显示出如下一段信息: 相似文献
2.
新1575病毒是一种文件型病毒,感染COM和EXE文件.它将病毒体附着在正常程序尾部,修改文件头部指令,使程序运行时先执行病毒部分.本文对照分析了染毒前后的程序,找到了清除病毒的方法,编写 相似文献
3.
本文首先分析一种新型的长度为1465字节的病毒传染计算机可执行COM、EXE文件的机制,然后介绍用C语言编写的消毒程序。 相似文献
4.
一、病毒的特点受感染的.COM和.EXE文件长度分别增加5125和5120字节;受感染程序在调入时,速度明显减慢,但运行时速度无明显变化,不感染COMMAND.COM,为一种良性病毒.某些文件不被感染,如WINDOWS文件,但由于病毒体较长,容易迅速占满软硬盘空间,而带来不少麻烦.二、病毒的运行1、“5120”病毒的引入(1)运行带毒文件.(2)如是.COM,则转(3);如是.EXE文件,则恢复原程序的一些参数:SS,SP,CS,IP,转(3).(3)调用中断21H,功能号ACACH,如果AX返回 相似文献
5.
6.
最近,笔者发现了一种新病毒,广泛流行于PC机上,用目前的Kill、Scan及最新的Cpav 2.1均不能测出.该病毒长度为919个字节,由于尾部有“USTC’四个字符,所以笔者紧其取名为“USTC”病毒.USTC病毒是一种文件型病毒,它只感染.EXE文件,由于病毒在感染.EXE文件的,仅仅修改了.EXE文件的文件头中保存的该.EXE文件载入内存执行定位时SP的值,没有修改IP的值,所以受感染的文件一般增长919至934个字节.该病毒修改了DOS功能调用INT 21H,其病毒INT 21H的入口在XXXX:0156处.在带有USTC病毒的内存中断向量表0000:0084处,可看到此病毒入口地址.当带有USTC病毒的文件运行时,程序首先执行病毒体部分,病毒直接读出中断向量表0000:0188处(INT62H的中断向量地址)的值,通过判断该值是否为55AAH来确定采统是否已感染病毒.如果不是55AAH,病毒便认为系统没有受到感染,于是就启动感染模块. 相似文献
7.
DIRⅠ病毒驻留在磁盘的最后一个可用簇,驻留长度为1024字节,并在磁盘文件分配表FAT中将该簇标为FEFF(软盘有所不同)。该病毒首先感染COMMAND.COM文件,此时一旦执行DOS的DIR命令,病毒即进入内存,从而感染当前目录中的可执行文件(.EXE和.COM文 相似文献
8.
《电脑》1994年第11期曾介绍一种2048病毒,该病毒只感染EXE文件,而不感染COM文件.本人最近发现一种病毒,用Cpav、kill62软件不能发现和消除,被感染病毒的文件大小增大2048字节左右,为区别起见,暂称该病毒为2048LH病毒,该病毒属于文件型病毒,专门感染COM和EXE文件,但不感染command.com文件,当该病毒驻留内存后,用Pc-tools或Chkdsk检测,可发现内存减少2K. 相似文献
9.
10.
11.
最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件 相似文献
12.
“1099”病毒是近年来流行的一种文件型病毒。激发时,将会随机性地改写硬盘,故有的资料称之为“随机格式化病毒”,被改写的硬盘中,文件数据全部丢失,所以是一种“恶性病毒”。1099病毒的感染能力很强,在运行了一个染毒文件后,它就驻留内存,然后在DIR命令下,每列一次目录时,就感染当前目录下的一个可执行文件,先感染.EXE文件,再感染.COM文件。一旦COMMAND.COM文件被感染,则每次开机后它就驻留内存,伺机继续感染其它的可执行文件。研究此病毒可以用如下方法:先把一个无毒的.EXE文件或者.COM文件以.CMP文件复… 相似文献
13.
EXE文件由于其构成的特殊性,使得对EXE文件的修改远不如象修改COM文件那么来得方便。笔者通过反复的实践,巧妙地解决了这个问题,从而使修改EXE如同修改COM文件一样简单。先简要谈谈EXE文件的构成。EXE文件是由LINK.EXE程序产生的,它由两部分组成:1、控制和定位信息;2.模块体(即真正的程序)本身。控制和定位信息在文件的头部称为文件头,模块体紧接其后。下面则通过一个例子来说明修改EXE文件的方法。假设要对文件zheng.exe进行修改(如修改zheng.exe中的某段程序或某些数据),首先,用copy zheng.exe zheng.dat命令将其改为非EXE文件,然后调用DEBUG.COM将zheng.exe文件的文件头写到head文件里: 相似文献
14.
韩耀伟 《电脑编程技巧与维护》1997,(7):75-77
笔者最近在机器上发现一种怪现象,用DIR等读盘命令时,屏幕出现严重的抖动现象并拌有不规则的读盘声音,便怀疑是病毒作怪。使用KV300(B+)没发现病毒,但仍不放心。于是重新用干净的系统盘启动,然后用DEBUG去查看COMMANDCOM(DOS6。22)。果然发现有一段外壳程序,但是用DEBUG是不可能跟踪的,选用SOFT—ICE来跟踪它,才发现这是一个设计巧妙的病毒程序。 该病毒属于文件型外壳病毒,属于恶性病毒,它修改DOS中断,降低系统速度,更严重的是,当有读盘动作时,便触发病毒,感染当前工作路径下所有的COM和EXE文件。虽然此病毒长度为443H(1091) 相似文献
15.
COM文件与EXE文件的结构区别 DOS环境下可执行文件主要有两种结构,一种为COM文件,其最大64K,另一种为EXE文件,其最大可达到所有可使用磁盘空间的长度。COM文件相当于小型程序,运行COM文件时,所有段寄存器值均相同,即代码、数据及堆栈均处于同一段中,而EXE文件中各段寄存器可以各不相同,即以上三部分可同时存在于不同的段中。COM程序存储在盘上时,是内存的完全映像,而EXE文件却以特殊的形式存在盘上,有唯一的文件头,文件头内有内存分配图、累加和以及其它的DOS有用的信息。另外,COM文件优先级高于EXE文件,在调用相同名字的COM 相似文献
16.
最近在笔者单位的计算机中发现了一种新的病毒,病毒不能被KILL70.01、SCAN108、CPAV1.4所发现和清除.病毒只感染.COM文件,感染病毒的文件长度增加1024(1K)字节.当计算机有病毒时,用DIR命令,在遇到.COM文件时计算机的显示速度明显下降、并有写盘现象.这种病毒是文件型(外壳型)病毒,由于病毒修改了INT21中断,所以感染起采非常迅速.在内存中有病毒的情况下,只要打DIR命令就能将当前目录下所有.COM文件感染上病毒.不过此时用DIR命令不能发现.COM文件的长度和日期有变化,用PCTOOLS工具可看到文件的长度多了1024字节. 相似文献
17.
近几个月来在我们的Novell网上发现有些.EXE文件长度增加,少数程序不能执行,DOS报告是EXE文件出错。经分析,原因是染上了病毒,由于该病毒末尾有CRACK NOVELL字符,又利用Novell的一个漏洞对Novell网安全性构成威胁,故暂命名为Crack Novell病毒,该病毒用SCAN CPAV KILL KV300 AV95等均查不出。 该病毒只感染EXE文件,链接于文件尾部,驻留内存后在运行文件时感染。文件被感染后,文件头中的文件长度,文件字符累加和及初始IP CS值被改,文件增长1024~1039不等。由于病毒无表现模块,若不注意,较难发现。 此病毒的特点在于对Novell网安全性的破坏。病毒通过修改MCB链驻留内存高端后拦截了INT 2IH的4BH子功能 相似文献
18.
李树山 《电脑编程技巧与维护》1995,(10):68-68
DIR—2病毒的宿主是可执行文件,当运行了带毒的文件后,其病毒部分驻留内存,并感染默认目录及根目录下的.EXE、.COM文件,染毒文件的长度、日期均不改变。它不寄生在染毒的文件上,而是隐藏在磁盘的最后两个簇上,通过修改被感染文件的首簇号使之指向磁盘的最后两个簇。实现对可执行文件的感染。该病毒传播迅速、破坏性大,用KILL、SCAN等清毒软件均可检测出来,但用它们清除病毒时,它 相似文献
19.
20.
笔者在本校机房中遇到一种病毒,用美国防毒协会发放的SCAN116版检查报告是[MacG]病毒,但相应的CLEAN116却不能清除,因此笔者对病毒作分析.一、特征①病毒属文件型病毒,只感染.EXE型文件,并将文件时间改为20××年.文件染毒后比原来增长2824字节,文件中有字串MACGYVER V1.0.②病毒修改文件头,使首先执行一跳转语句,首先载入病毒体代码. 相似文献