1150病毒及解毒程序

1150病毒是一种最近发现的新型病毒,用公安部的KILL76.3或超级巡警KV200 J版皆不能找出和清除这个病毒。病毒的特征是封锁计算机的上部内存,使上部内存区UPPER MEMORY为零,WINDOW不能运行。虽然该病毒只感染EXE文件,但是它的感染力很强。在硬盘上不论哪一个分区,哪一个子目录的DOS格式的EXE文件,不论运行与否,都可能被它找到并感染。特别是EMM386.EXE     

神秘的3783病毒

最近,笔者发现了一种新的病毒,用目前常用的KV300、VRVNT、KILL等杀毒软件均不能发现和清除,因其感染EXE和COM文件时,使文件长度增长3783字节,故取名为3783病毒.它是一种两栖型(又称混合型)病毒,它既是系统型病毒,感染硬盘主引导扇区(即0道0头1扇区)和软盘的逻辑0扇区,又是文件型病毒,专门感染EXE文件和COM文件.3783病毒的神秘之处在于以下几点:其一,3783病毒感染硬盘和软盘时,病毒的首语句是JMP 013E(EB 3C),特别是软盘的逻辑0扇区,DOS 5.0以上版本的引导程序的首语     

由一例病毒分析看Novell网的漏洞

近几个月来在我们的Novell网上发现有些.EXE文件长度增加,少数程序不能执行,DOS报告是EXE文件出错。经分析,原因是染上了病毒,由于该病毒末尾有CRACK NOVELL字符,又利用Novell的一个漏洞对Novell网安全性构成威胁,故暂命名为Crack Novell病毒,该病毒用SCAN CPAV KILL KV300 AV95等均查不出。 该病毒只感染EXE文件,链接于文件尾部,驻留内存后在运行文件时感染。文件被感染后,文件头中的文件长度,文件字符累加和及初始IP CS值被改,文件增长1024～1039不等。由于病毒无表现模块,若不注意,较难发现。 此病毒的特点在于对Novell网安全性的破坏。病毒通过修改MCB链驻留内存高端后拦截了INT 2IH的4BH子功能     

一种新的DOS病毒——新世纪病毒

最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件     

930／3A2病毒的检测和清除

笔者在单位的微机上发现一种新病毒,这种病毒只感染可执行文件(.COM和.EXE),用当前的CPAV、MSAV和SCAN均不能发现该病毒,唯有“超级巡警”KV200能够发现,但不能清除它.该病毒代码长为898个字节,对可执行文件传染后,文件字节增加930个字节,故称之为930/3A2病毒.     

Hymn病毒的检测和清除

笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码:     

1150／Burglar病毒的分析与清除

近几个月,笔者在上机时,机器常出现死机现象,检查文件发现EXE文件无故增长1150字节,确认感染病毒,但使用KILL76.02、KV200(J)和CPAV2.0均不能查解,经分析发现为新病毒,定名为1150/Burglar病毒。分析与消毒方法如下。 1.病毒特性 参见附表,该病毒为常驻内存的文件型病毒,感染EXE文件,修改原文件的文件头,病毒体追加在EXE文件的尾部。当染毒文件运行时,病毒首先使用DOS功能调用的扩展功能F0H来判断病毒是否已驻留内存,调用返回AX寄存器,如AX=0,则表明病毒已驻留内存,病毒恢复原EXE文件的IP、CS、SS,运行被感染文件,反之,则先驻留病毒自身,再恢复执行染毒文件。     

1091病毒的内部剖析

笔者最近在机器上发现一种怪现象,用DIR等读盘命令时,屏幕出现严重的抖动现象并拌有不规则的读盘声音,便怀疑是病毒作怪。使用KV300(B+)没发现病毒,但仍不放心。于是重新用干净的系统盘启动,然后用DEBUG去查看COMMANDCOM(DOS6。22)。果然发现有一段外壳程序,但是用DEBUG是不可能跟踪的,选用SOFT—ICE来跟踪它,才发现这是一个设计巧妙的病毒程序。 该病毒属于文件型外壳病毒,属于恶性病毒,它修改DOS中断,降低系统速度,更严重的是,当有读盘动作时,便触发病毒,感染当前工作路径下所有的COM和EXE文件。虽然此病毒长度为443H(1091)     

3072病毒的分析与清除

1、简述笔者遇到一种复合病毒,类似米氏病毒,既可传染硬盘主引导程序,又可传染可执行文件(.COM,EXE),只是因为对.COM文件,其长度增加3072字节(C00H),对.EXE文件,其长度增加3072-3090字节,故暂名为3072病毒,用SCAN V117和KILL V77均不能杀死.该病毒不传染软盘BOOT区,但传染性较强.加载运行及内存有毒的情况下进行目录搜索,均可实施传染.2、表现方法(1)键盘随机锁定,或字母为大小互变,上下档互交.PUSH DSXOR AX,AXMOV DS,AXMOV WORD PTR[0417],0091POP DS     

“格式化”病毒的检测和消除

最近,在本校的机房中出现了一种以前未见过的病毒,这种病毒的传染性和破坏性都较强,如果达到一定的条件,它会对硬盘实施格式化,所以笔者称之为″格式化″病毒。这种病毒的出现已经给我校微机房带来了不小的破坏。笔者通过对此病毒的深入分析,采取了一些有效的措施,控制了它的传播和破坏。 一、病毒的特征,传播和引导 1.特征:该病毒用KV200检查时,提示在硬盘主引导区中有病毒但并未给出明确的名称,可见是一种不常见的病毒。这种病毒占据硬盘的主引导扇区0头0柱面1扇区,或软盘的DOS引导扇区,而把原软盘的DOS引导扇区放在1面79道18扇区中。它的主要标志是距病毒程序首部03AH中的字节DC,而病毒     

1425病毒

笔者最近发现了一种新病毒,用目前的KILL软件及SCAN软件均不能测出,因受感染的EXE文件或COM文件,增长约1425字节,故笔者称之为1425病毒.1425病毒是一种文件型病毒,它更改了功能调用中断INT 21H.其病毒INT 21H的入口在XXXX:0287.在带有1425病毒的内存中断向量表0000:0084处可看到这个病毒的入口地址.     

2048病毒

最近广州出现了一种新病毒,用目前人们使用的KILL和SCAN软件,不能查出或清除该病毒.由于受该病毒感染的EXE文件都增长2048字节,故笔者称之为2048病毒.2048病毒是一种文件型病毒,但它只感染EXE文件,而不感染COM文件.2048病毒和许多病毒一样,在功能调用INT 21H和磁盘中断INT 13H上做文章.但2048病毒与众不同的地方在于它在设置病毒INT 21H和病毒INT13H时,并没有修改中断向量表中记录的INT 21H和INT 13H的入口地址,而是采用了移花接木的手法.     

硬盘故障排除两例

故障1:笔者单位一台486微机开机不能直接进入系统,提示:This is half.press anykey to continue,敲任意键后才能进入系统,当运行Windows软件时,屏幕发生旋转。由此怀疑系统感染病毒,但用KILL、MSAV、CPAV和SCAN等软件均未查出病毒,后用KV200检查,报告有CHOST/ONE-HALF幽灵3544病毒,且内存被感染需用干净的系统盘启动。用无毒软盘启动后再用KV200清毒时,仍报告内存有病毒。由此可知KV200本身被病毒感染。找来干净的KV200软件盘,病毒被消除。 但是,病毒清除后观察硬盘,发现许多文件被删除,且目     

DOCTOR病毒

DOCTOR病毒最初是在武汉某电脑公司发现的,后来在不少单位也陆续发现该病毒,用Macfee的SCAN99查不出;用公安部最新版KILL68.03只能查到,不能清除它。下面先介绍该病毒的特性,之后给出清毒实用程序及使用方法。 一、病毒特性介绍: DOCTOR属文件型病毒,它感染所有的EXE、COM文件以及OVL覆盖文件,DOCTOR的感染标志设置在文件的秒时间上,被感染文件的秒时间设置为1EH(60秒),正常文件的秒时间不可能是60秒。     

MASK假面具病毒的诊治

该病毒感染硬盘0面0柱1扇区,将原主引导记录和硬盘分区表移到硬盘0面0柱8扇区。病毒感染软盘0面0道1扇区,将原DOS引导记录移到软盘1面0道3扇区。用无病毒DOS系统软盘引导机器后,再用查解病毒软件CPAV1375和国产KILL62均查不出有病毒,用国产广谱查病毒程序KV20检查,告知是一种“普通的引导区新病毒!”。但是,患毒机器起动后,查看内存的中断向量表,没有被病毒修改。用著名NORTON软件和8.0版PCTOOLS的DE软件以及查病毒软件去查看硬盘主引导记录和软盘DOS引导记录,都十分正确,这就奇怪了,病毒藏到哪儿去了呢?经跟踪病毒程序分析,原来是病毒控制了INT13H,当我们要查看硬盘0面0柱1扇区的主引导记     

B483病毒

最近,在我单位的计算机上发现了一种新的病毒,用CPAV、KILL、SCAN均无法检测出来。我对病毒进行了彻底的分析,成功的清除了病毒。因该病毒运行后在内存0000:053E处有B483标志,所以称之为B483病毒。该病毒是文件型病毒,它的感染对象是绝大部分COM文件和EXE文件。     

USTC病毒的检测与清除

最近,笔者发现了一种新病毒,广泛流行于PC机上,用目前的Kill、Scan及最新的Cpav 2.1均不能测出.该病毒长度为919个字节,由于尾部有“USTC’四个字符,所以笔者紧其取名为“USTC”病毒.USTC病毒是一种文件型病毒,它只感染.EXE文件,由于病毒在感染.EXE文件的,仅仅修改了.EXE文件的文件头中保存的该.EXE文件载入内存执行定位时SP的值,没有修改IP的值,所以受感染的文件一般增长919至934个字节.该病毒修改了DOS功能调用INT 21H,其病毒INT 21H的入口在XXXX:0156处.在带有USTC病毒的内存中断向量表0000:0084处,可看到此病毒入口地址.当带有USTC病毒的文件运行时,程序首先执行病毒体部分,病毒直接读出中断向量表0000:0188处(INT62H的中断向量地址)的值,通过判断该值是否为55AAH来确定采统是否已感染病毒.如果不是55AAH,病毒便认为系统没有受到感染,于是就启动感染模块.     

网络系统病毒的防治和消除

我校网络系统采用NOVELL网,网主服务器为COMPAQ-586,网络软件为NET-WARE 3.12,在安装和运行此软件过程中,只要一执行NETWARE的启动文件Server.exe,DOS分区表就感染了One-Half病毒,用消毒程序KV200检查文件服务器虚盘和PC机DOS系统,都不能发现病毒所在。 我们把有问题的PC机做低级格式化,只装DOS操作系统,KV200报告正常,再安装NETWARE软件,毛病照常,这说明NETWARE中极有可能存在被病毒感染的文件。通过     

713病毒的分析与清除

近来,本校流行一种新的病毒,用cpav、scan、kill(各种版本)、duchv、ve多种消毒软件均不能正确检测与消除.这种病毒具有系统引导型病毒和外壳型病毒的特点,不但感染硬盘主引导,而且感染EXE文件及COM文件.由于此病毒发作时间为7月13日,因此暂且把命它名为713病毒.下面先对其进行分析,再给出消除方法.一、病毒的引入机制1.可执行文件中病毒的引入     

[MacGyver]病毒的检测及清除

笔者在本校机房中遇到一种病毒,用美国防毒协会发放的SCAN116版检查报告是[MacG]病毒,但相应的CLEAN116却不能清除,因此笔者对病毒作分析.一、特征①病毒属文件型病毒,只感染.EXE型文件,并将文件时间改为20××年.文件染毒后比原来增长2824字节,文件中有字串MACGYVER V1.0.②病毒修改文件头,使首先执行一跳转语句,首先载入病毒体代码.