1425病毒

笔者最近发现了一种新病毒,用目前的KILL软件及SCAN软件均不能测出,因受感染的EXE文件或COM文件,增长约1425字节,故笔者称之为1425病毒.1425病毒是一种文件型病毒,它更改了功能调用中断INT 21H.其病毒INT 21H的入口在XXXX:0287.在带有1425病毒的内存中断向量表0000:0084处可看到这个病毒的入口地址.     

Gene病毒

最近,笔者发现一种新病毒,用目前的kill软件及Scan软件均不能测出.因病毒发作时屏幕会显示“Gene!”,故笔者取名为Gene病毒.Gene病毒是一种文件型病毒,它只感染.EXE文件,受感染的.EXE文件一般增长1366至1398个字节.该病毒修改了功能调用nit 21H,其病毒int 21H的入口在XXXX:O2EC处,在带有Gene病毒的内存中断向量表0000:0084中,可看到这个病毒的入口地址.     

2048病毒

最近广州出现了一种新病毒,用目前人们使用的KILL和SCAN软件,不能查出或清除该病毒.由于受该病毒感染的EXE文件都增长2048字节,故笔者称之为2048病毒.2048病毒是一种文件型病毒,但它只感染EXE文件,而不感染COM文件.2048病毒和许多病毒一样,在功能调用INT 21H和磁盘中断INT 13H上做文章.但2048病毒与众不同的地方在于它在设置病毒INT 21H和病毒INT13H时,并没有修改中断向量表中记录的INT 21H和INT 13H的入口地址,而是采用了移花接木的手法.     

1349病毒分析

近日发现一种新病毒,用公安部KILL77和McAFee的SCAN117等查毒软件不能发现该病毒,于是对该病毒进行了分析,弄清了病毒程序的执行过程.一、传染机理该病毒长度基数为545H(1349)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6AH节(1696字节),然后驻留内存,地址从CS:0100开始.CS:0000——CS:00FF为病毒运行的数据区.用PCTOOLS看内存容量时,内存总量减少2KB.病毒驻留内存后更改INT21H(DOS功能调用)为XXXX:0287H,更改INT 1CH(时钟中断)为     

1091病毒的检测与删除

最近,我们单位出现一种新病毒,用CPAV和SCAN都不能发现它,我对它进行了分析,成功的杀灭了该病毒.因该病毒长度为443H字节,故称其为1091病毒.病毒修改COM文件头的11字节为远跳转指令,使病毒代码首先得到执行,并把原文件头的11字节存入病毒偏移11FH处,对EXE文件,则修改文件头的SS,SP,CS,IP使其指向病毒体,并把原文件头的11字节存入病毒偏移11FH处.病毒代码一运行,首先检测内存有没有驻留该病毒,如没有则把DOS可用内存减少2K字节,并把自身驻留于内存高端,同时修改24H,21H号中断,使其指向病毒内部代码.因此每当运行DIR命令时,病毒开始传播.     

1091病毒分析

该病毒用公安部的KILL 70.01和 McAFee的SCAN117等查毒软件均不能发现,对该病毒进行了分析,发现该病毒很类似1099(Random-formatting)病毒.可以说是其一个变种,正因为如此,一些清毒软件将其误认为1099病毒,产生误动作,将染毒文件弄得无法恢复.所以有必要对该病毒代码的执行过程介绍一下,希望能对大家有所帮助.传染机理:该病毒长度基数为443H(1091)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6EH节(1760字节),然后驻留内存,地址从CS:0100开始.0054:0000开始的一段内     

1150／Burglar病毒的分析与清除

近几个月,笔者在上机时,机器常出现死机现象,检查文件发现EXE文件无故增长1150字节,确认感染病毒,但使用KILL76.02、KV200(J)和CPAV2.0均不能查解,经分析发现为新病毒,定名为1150/Burglar病毒。分析与消毒方法如下。 1.病毒特性 参见附表,该病毒为常驻内存的文件型病毒,感染EXE文件,修改原文件的文件头,病毒体追加在EXE文件的尾部。当染毒文件运行时,病毒首先使用DOS功能调用的扩展功能F0H来判断病毒是否已驻留内存,调用返回AX寄存器,如AX=0,则表明病毒已驻留内存,病毒恢复原EXE文件的IP、CS、SS,运行被感染文件,反之,则先驻留病毒自身,再恢复执行染毒文件。     

934病毒的检测与消除

(1)病毒发作特征:运行934病毒感染的文件时,系统进入图形状态,驻留内存;PCTOOLS及MEM.EXE不能发现内存减少。 (2)病毒感染特征:只感染COM文件,感染文件长度增加3A6H(934)字节。 (3)病毒感染过程:将3A6H(934)字节长的病毒代码附在COM文件尾,将原COM文件开头4字节移到病毒代码偏移OBH处,即带毒文件长度减29BH偏移处;COM文件开头置跳     

由一例病毒分析看Novell网的漏洞

近几个月来在我们的Novell网上发现有些.EXE文件长度增加,少数程序不能执行,DOS报告是EXE文件出错。经分析,原因是染上了病毒,由于该病毒末尾有CRACK NOVELL字符,又利用Novell的一个漏洞对Novell网安全性构成威胁,故暂命名为Crack Novell病毒,该病毒用SCAN CPAV KILL KV300 AV95等均查不出。 该病毒只感染EXE文件,链接于文件尾部,驻留内存后在运行文件时感染。文件被感染后,文件头中的文件长度,文件字符累加和及初始IP CS值被改,文件增长1024～1039不等。由于病毒无表现模块,若不注意,较难发现。 此病毒的特点在于对Novell网安全性的破坏。病毒通过修改MCB链驻留内存高端后拦截了INT 2IH的4BH子功能     

Gene病毒的检测与清除

Gene病毒攻击EXE文件。因其病毒代码区中有如下学符:‘Gene’。病毒代码长556H,附在EXE文件的尾部,并使之增大556H(1360)+X字节,其中X=16—(原文件长度 MOD 16)。其感染标志是文件尾部的两字节为0AAAAH。 当运行带毒程序时,病毒首先判断自身是否已驻留内存,有则转去执行原程序,否则即修改MCB的(03)单元及PSP段的(02)单元内容驻留内存,而用PCTOOL、CHKDSK检查内存容量,不会发     

Gene病毒的检测与清除

Gene病毒攻击EXE文件。因其病毒代码区中有如下学符:‘Gene’。病毒代码长556H,附在EXE文件的尾部,并使之增大556H(1360)+X字节,其中X=16-(原文件长度 MOD 16)。其感染标志是文件尾部的两字节为0AAAAH。 当运行带毒程序时,病毒首先判断自身是否已驻留内存,有则转去执行原程序,否则即修改MCB的(03)单元及PSP段的(02)单元内容驻留内存,而用PCTOOL、CHKDSK检查內存容量,不会发     

INOC病毒的解密与消除

本系近来遇到一种新病毒,其现象是感染“.EXE”文件和长度不大于2048字节的“.COM”文件(但不感染COMMAND.COM),感染后长度增加1787～1833字节。用美国的CPAV1.4和MCAFEESCAN113等均无法检测出来;用冰岛大学推出的F-PROT软件可以检测出文件感染了名为“INOC”的病毒,但无法清除,只能把被感染文件改名(“.COM”改为“.VOM”;“.EXE”改为“.VXE”)。运行了带毒程序后,用MEM或MI命令可以看到病毒已用该程序的名字驻留内存,占用2288字节,并截取了INT 2F中断。此外该病毒还有一个特殊现象;若是被感染的文件名为SCAN.EXE,那么运行该文件时屏幕上将会显示出如下一段信息:     

1824病毒的检测与消除

(1) 病毒检测:①.COM文件增加1831字节,.EXE文件增加1824字节左右时;②文尾有B8 00 02 50 CB F6 C7等7字节病毒特征串时。 (2) 病毒感染过程:对.COM文件,只简单地将病毒代码720H字节存入文件首,然后将文件尾加上7字节病毒特征串,这样.COM文件增加727H字节。对.EXE文件,将病毒代码存入文件尾,同时修改文件头CS,SS,IP,SP等值,将其指向病毒代码,原文件头上述各值与0013异或后存入病毒代码0385～038CH处。     

NICE DAY病毒的特点与杀除

最近,笔者在系机房发现了一种新的系统型病毒,用KILL68和CPAV都查不出.此病毒编得相当简洁,整个病毒的有效代码不足450字节.通过分析病毒程序发现此病毒只对A驱动器内的磁盘和硬盘C进行感染,每月的一号当病毒调用INT13H读写有错或用染毒硬盘引导或感染完硬盘,病毒即发作.病毒发作时在屏幕缓冲区第二页B800:3CH处填写“HAVE A NICE DAY(c)YMP”,故笔者给它命名为NICE DAY VIRUS.若用带毒的磁盘引导系统,病毒修改0:413H单元的值将内存减少两K,并将病毒体移至高端(对于640K机器)9F80:0H处开始存放,修改INT 13H向量指向9F80:0DH,原INT 13H的向量存放于病毒体偏移9H处,病毒的INT 13H主要工作是处理感染A驱软盘和发     

对2048LH病毒的消除

《电脑》1994年第11期曾介绍一种2048病毒,该病毒只感染EXE文件,而不感染COM文件.本人最近发现一种病毒,用Cpav、kill62软件不能发现和消除,被感染病毒的文件大小增大2048字节左右,为区别起见,暂称该病毒为2048LH病毒,该病毒属于文件型病毒,专门感染COM和EXE文件,但不感染command.com文件,当该病毒驻留内存后,用Pc-tools或Chkdsk检测,可发现内存减少2K.     

一种新型计算机病毒的分析和诊治

笔者最近发现了一种新的良性计算机病毒，用现有的CPAV，SCAN等反病毒软件都不能诊治。感染该病毒的程序比原来增加了1465个字节，因而笔者称这种病毒为1465病毒。分析了核病毒的程序后，用C语言编制了诊治该病毒的程序。1465病毒附在COM和EXE文件的后部。运行有毒文件时，首先执行病毒部分。病毒先检查对号中断，如果对号中断已感染病毒，则执行文件的正常部分；如果对号中断未感染病毒，刚修改对号中断，使其附有1465病毒，并感染COMMAND．COM文件。在内存感染的情况下使用DIR命令，感染相应的COM和EXE文件，并显示文件原来…     

DIRⅡ病毒的检测和清除

DIRⅠ病毒驻留在磁盘的最后一个可用簇,驻留长度为1024字节,并在磁盘文件分配表FAT中将该簇标为FEFF(软盘有所不同)。该病毒首先感染COMMAND.COM文件,此时一旦执行DOS的DIR命令,病毒即进入内存,从而感染当前目录中的可执行文件(.EXE和.COM文     

4744／Natas病毒的分析和清除

笔者得到一种经KV200检查报说是4744/Natas的病毒,怀着和大家同样的好奇心情对代表当今病毒领域最高成就之一的Natas病毒进行了分析,经一个多星期努力,终于分析出来并将其清除,现将其一些特点写出来,以飨读者.Natas病毒长1288H/4744字节,是一种非常高级的二维变形病毒,感染主引导区和COM、EXE文件.该病毒修改了INT 21H、INT 13H、INT 1H、INT24H中断,截留了INT 21H(DOS系统功能调用)中的12个子功能号,为11H、12H(FCB式查找文件)、4EH、4FH(ASCII串查找文件).3DH、3EH、3FH、40H、4202H、5700H、5701H、4B00H.只有4B00H(加     

1099病毒的检测及清除

1099病毒是一种文件型病毒,攻击扩展名为EXE和COM的可执行DOS文件。该病毒代码长度为1099字节,故称其为“1099病毒”。1 1099病毒感染文件的特点及危害性 该病毒不感染长度低于2KB的文件。病毒代码附着在被感染文件尾部,文件长度增量为1099B 1～16B。原因是该病毒总是将自身复制到原文件末尾之后的第一个节地址(即能被16整除的磁盘地址)处,而在病毒体首字节与原文件末尾之间任意填充内容,导致文件长度增     

B483病毒

最近,在我单位的计算机上发现了一种新的病毒,用CPAV、KILL、SCAN均无法检测出来。我对病毒进行了彻底的分析,成功的清除了病毒。因该病毒运行后在内存0000:053E处有B483标志,所以称之为B483病毒。该病毒是文件型病毒,它的感染对象是绝大部分COM文件和EXE文件。