1465病毒的剖析

最近发现了一种新病毒,这种病毒只感染exe和com文件,传染后仍可正常运行,该病毒只传染一次,使文件长度增加了1465个字节,故命名为1465病毒(以下简称病毒)。对已感染的文件没有固定的标志,在内存有毒时,文件长度并无变化,从而来欺骗用户。病毒的部分关键代码和被感染的原文件头的部     

1091病毒分析

该病毒用公安部的KILL 70.01和 McAFee的SCAN117等查毒软件均不能发现,对该病毒进行了分析,发现该病毒很类似1099(Random-formatting)病毒.可以说是其一个变种,正因为如此,一些清毒软件将其误认为1099病毒,产生误动作,将染毒文件弄得无法恢复.所以有必要对该病毒代码的执行过程介绍一下,希望能对大家有所帮助.传染机理:该病毒长度基数为443H(1091)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6EH节(1760字节),然后驻留内存,地址从CS:0100开始.0054:0000开始的一段内     

GENE病毒的一个变种

笔者最近发现一种病毒,与《电脑》杂志95年第1期中介绍的GENE病毒极其相似,故判断该病毒为GENE病毒的一个变种.该病毒的长度为1569字节,笔者依此将其称为GENE/1569病毒.一、病毒的基本特征GENE/1569病毒属文件型病毒,只感染非只读属性的EXE文件,被感染文件长度增长1569-1585字节,日期和时间均不改变,文件末尾两字节为AAAAH,这是病毒用来判断文件是否已被感染的标志,在被感染文件中还有一未加密的字符串“Gene-1991-in DUP(Dalian Chi-na)”.根据这几项特征,可以判断一个EXE文件是否已被感染.     

Gene病毒的检测与清除

Gene病毒攻击EXE文件。因其病毒代码区中有如下学符:‘Gene’。病毒代码长556H,附在EXE文件的尾部,并使之增大556H(1360)+X字节,其中X=16—(原文件长度 MOD 16)。其感染标志是文件尾部的两字节为0AAAAH。 当运行带毒程序时,病毒首先判断自身是否已驻留内存,有则转去执行原程序,否则即修改MCB的(03)单元及PSP段的(02)单元内容驻留内存,而用PCTOOL、CHKDSK检查内存容量,不会发     

Gene病毒的检测与清除

Gene病毒攻击EXE文件。因其病毒代码区中有如下学符:‘Gene’。病毒代码长556H,附在EXE文件的尾部,并使之增大556H(1360)+X字节,其中X=16-(原文件长度 MOD 16)。其感染标志是文件尾部的两字节为0AAAAH。 当运行带毒程序时,病毒首先判断自身是否已驻留内存,有则转去执行原程序,否则即修改MCB的(03)单元及PSP段的(02)单元内容驻留内存,而用PCTOOL、CHKDSK检查內存容量,不会发     

1091病毒的检测与删除

最近,我们单位出现一种新病毒,用CPAV和SCAN都不能发现它,我对它进行了分析,成功的杀灭了该病毒.因该病毒长度为443H字节,故称其为1091病毒.病毒修改COM文件头的11字节为远跳转指令,使病毒代码首先得到执行,并把原文件头的11字节存入病毒偏移11FH处,对EXE文件,则修改文件头的SS,SP,CS,IP使其指向病毒体,并把原文件头的11字节存入病毒偏移11FH处.病毒代码一运行,首先检测内存有没有驻留该病毒,如没有则把DOS可用内存减少2K字节,并把自身驻留于内存高端,同时修改24H,21H号中断,使其指向病毒内部代码.因此每当运行DIR命令时,病毒开始传播.     

1824病毒的检测与消除

(1) 病毒检测:①.COM文件增加1831字节,.EXE文件增加1824字节左右时;②文尾有B8 00 02 50 CB F6 C7等7字节病毒特征串时。 (2) 病毒感染过程:对.COM文件,只简单地将病毒代码720H字节存入文件首,然后将文件尾加上7字节病毒特征串,这样.COM文件增加727H字节。对.EXE文件,将病毒代码存入文件尾,同时修改文件头CS,SS,IP,SP等值,将其指向病毒代码,原文件头上述各值与0013异或后存入病毒代码0385～038CH处。     

934病毒的检测与消除

(1)病毒发作特征:运行934病毒感染的文件时,系统进入图形状态,驻留内存;PCTOOLS及MEM.EXE不能发现内存减少。 (2)病毒感染特征:只感染COM文件,感染文件长度增加3A6H(934)字节。 (3)病毒感染过程:将3A6H(934)字节长的病毒代码附在COM文件尾,将原COM文件开头4字节移到病毒代码偏移OBH处,即带毒文件长度减29BH偏移处;COM文件开头置跳     

警惕!4月17日和8月17日的cqZGB病毒

最近,笔者碰到一种新病毒,用最新的SCAN、KILL等消毒程序均不能发现该病毒,但它却有较大的危害性和隐蔽性。现在将对它的分析和消除方法介绍给大家,以便及时准备,使其危害性降低到最小程度。由于该病毒感染文件后文件长度增加2128个字节,所以我们称之为“2128病毒”。 首先,该病毒是一种文件型病毒,可以感染.exe和.com文件。被感染文件的长度要大于6144个字节(即1800H),以增加病毒的隐蔽性;对于.com文件还要求文件长度小于63488字节(即F800H),以免感染病毒后文件长度超过64k。感染病毒后文件长度一般增加2128个字节,病毒体挂在被感染     

3783病毒及解毒程序K3783.COM

3783病毒是一种新型病毒,用KV300(B)版等杀病毒软件均不能清除该病毒。本病毒不仅感染DOS下的绝大部分文件,也感染WINDOWS下的大部分文件,而且还感染磁盘引导扇区,严重地影响了计算机的正常工作。 被感染文件的长度增加了3783个字节,只有用无毒的系统盘启动计算机才能看出文件长度的变化。被该病毒感染的计算机,对软盘不能进行正常操作。     

STORYTELLER病毒的分析与防治

1 STORYTELLER病毒的特点最近在国内发现一种新的文件型病毒。该病毒对两类系统可执行文件进行传染。对COM型文件传染时,使文件长度增加1261字节;对EXE型文件传染时,由于是在文件的最末尾从一节的起点开始写病毒程序,所以文件长度增加的字节数为1261～1276。在病毒程序的尾部可以看到如下信息:     

一种变长病毒的分析与清除

最近,在本单位的微机上发现一种不知名的病毒,用K72,CPAV均无法检测出来.笔者对其进行了深入分析,成功地清除了该病毒,在此介绍给同行,以便发现时能及时清除.一、变长病毒的标志当发现文件的长度无故增长,并且,如果COM文件的前五个字节为B8 XX XX FFEO;EXE文件的第3,4字节(文件映像长度)为FF FF及第17,18字节(SP寄存器应具有的值)为C1 05,则可判定文件感染了此种病毒.     

USTC病毒的检测与清除

最近,笔者发现了一种新病毒,广泛流行于PC机上,用目前的Kill、Scan及最新的Cpav 2.1均不能测出.该病毒长度为919个字节,由于尾部有“USTC’四个字符,所以笔者紧其取名为“USTC”病毒.USTC病毒是一种文件型病毒,它只感染.EXE文件,由于病毒在感染.EXE文件的,仅仅修改了.EXE文件的文件头中保存的该.EXE文件载入内存执行定位时SP的值,没有修改IP的值,所以受感染的文件一般增长919至934个字节.该病毒修改了DOS功能调用INT 21H,其病毒INT 21H的入口在XXXX:0156处.在带有USTC病毒的内存中断向量表0000:0084处,可看到此病毒入口地址.当带有USTC病毒的文件运行时,程序首先执行病毒体部分,病毒直接读出中断向量表0000:0188处(INT62H的中断向量地址)的值,通过判断该值是否为55AAH来确定采统是否已感染病毒.如果不是55AAH,病毒便认为系统没有受到感染,于是就启动感染模块.     

1150／Burglar病毒的分析与清除

近几个月,笔者在上机时,机器常出现死机现象,检查文件发现EXE文件无故增长1150字节,确认感染病毒,但使用KILL76.02、KV200(J)和CPAV2.0均不能查解,经分析发现为新病毒,定名为1150/Burglar病毒。分析与消毒方法如下。 1.病毒特性 参见附表,该病毒为常驻内存的文件型病毒,感染EXE文件,修改原文件的文件头,病毒体追加在EXE文件的尾部。当染毒文件运行时,病毒首先使用DOS功能调用的扩展功能F0H来判断病毒是否已驻留内存,调用返回AX寄存器,如AX=0,则表明病毒已驻留内存,病毒恢复原EXE文件的IP、CS、SS,运行被感染文件,反之,则先驻留病毒自身,再恢复执行染毒文件。     

病毒BUPT 9146

最近,笔者在微机上发现一种新病毒,因其表现时屏幕显示“Hello,Welcome to BUPT 9146,Beijing!”故将其命令名为BUPT9146病毒.用KILL68及MS-DOS6的MSAV均查不出此病毒.经过跟踪分析,笔者掌握了病毒的运行机制及待点,在此介绍给大家,以便及时发现和清除.一、特征.①病毒属良性文件型病毒,被感染COM文件长度增加1367字节,EXE文件增加1364-1379字节,COMMAND.COM文件受病毒保护不被感染.②被感染文件尾部四字节为病毒的标志字节“C6 CECB C9”.③用工具软件可在被感染文件中搜索到字串“Onlyfor experiment.BUPT”.     

一种新病毒的清除方法

最近在笔者单位的计算机中发现了一种新的病毒,病毒不能被KILL70.01、SCAN108、CPAV1.4所发现和清除.病毒只感染.COM文件,感染病毒的文件长度增加1024(1K)字节.当计算机有病毒时,用DIR命令,在遇到.COM文件时计算机的显示速度明显下降、并有写盘现象.这种病毒是文件型(外壳型)病毒,由于病毒修改了INT21中断,所以感染起采非常迅速.在内存中有病毒的情况下,只要打DIR命令就能将当前目录下所有.COM文件感染上病毒.不过此时用DIR命令不能发现.COM文件的长度和日期有变化,用PCTOOLS工具可看到文件的长度多了1024字节.     

FLIP病毒的变种——FLIP-2153B

最近,我们发现了兼有文件引导型和系统引导型病毒特点的FLIP病毒的变种FLIP-2153B。其特点是:在带毒文件中,距文件尾部48H处的病毒特征字节是0EB9,在被感染硬盘的主引导扇区,距首部第28字节处的病毒特征字节是5959。病毒从已被感染的可执行文件进入系统时,硬盘立即被感染,但是系统内存不减少;从系统引导过程中进入系统时,系统内存则减少3KB的空间。国家安全局编制的病毒检测软件ScAN 3.1版和查毒软件CPAV能发现位于硬盘主引导扇区的病毒,却不能发现被感染文件中的病毒。病毒编制者修改了病毒的特征字节和部分病毒程序主要是为了逃避查毒软件的检测。     

用TurboC编程检测和消除“627”病毒

最近,我系网络研究室的微机感染上了一种新型计算机病毒,使用CPAV2.0及KILL68均不能检测和消除.由于该病毒的感染,使数据传输受阻,严重时甚至导致整个网络瘫痪.经分析,该病毒为一文件型病毒,只传染大于1KB的.COM文件,且传染速度非常快,使文件长度增加627—639字节不等.由于该病毒使COMMAND.COM文件长度增加627B,故在各权威机构尚未正式命名之前,我们暂称之为“627病毒”.下面分几部分对627病毒进行讨论,并给出检测和消毒程序.     

由一例病毒分析看Novell网的漏洞

近几个月来在我们的Novell网上发现有些.EXE文件长度增加,少数程序不能执行,DOS报告是EXE文件出错。经分析,原因是染上了病毒,由于该病毒末尾有CRACK NOVELL字符,又利用Novell的一个漏洞对Novell网安全性构成威胁,故暂命名为Crack Novell病毒,该病毒用SCAN CPAV KILL KV300 AV95等均查不出。 该病毒只感染EXE文件,链接于文件尾部,驻留内存后在运行文件时感染。文件被感染后,文件头中的文件长度,文件字符累加和及初始IP CS值被改,文件增长1024～1039不等。由于病毒无表现模块,若不注意,较难发现。 此病毒的特点在于对Novell网安全性的破坏。病毒通过修改MCB链驻留内存高端后拦截了INT 2IH的4BH子功能     

DEMOCRACY病毒分析

笔者用公安部KILL70查毒软件检查一张软盘时,发现有几个文件含有DEMOCRACY病毒,杀毒后文件不能运行,于是对病毒进行了分析,基本弄清了病毒原理,现介绍如下.传染机理该病毒有效长度为OEB7H(3767)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,利用DOS中断调用的48H号功能,申请一块大小为FOH节(3840字节)的内存,然后驻留内存,用PCTOOLS看内存容量时,内存总量并不减少,但可用内存减少3840+16字节.