我用KV杀病毒

病毒名称:I-Worm/Hybris(螺旋病毒)病毒类型:网络蠕虫爆发时间:9月16号和24号病毒描述:该网络蠕虫可以通过电子邮件OUTLOOK来传播,修改Windows系统下的主管电子邮件收发的文件Wsock32.dll文件。它与别的网络蠕虫程序的不同之处在于它可以通过网络不断自动发送网络蠕虫程序本身,而且发送的文件的名称是变化的。该网络蠕虫程序用来发送附件的文件名称有:AAFIAAFI.EXE,AAMAAAMA.EXE,ADGAADGA.EXE,AIEAAIEA.EXE,AIGAAIGA.EXE等。由于该网络蠕虫程序是可以变化的,因此除主蠕虫程序文件外,还有许多该网络蠕虫程序的程…     

给程序增加自我诊断功能

有时程序已经染上了病毒,但我们却没有查觉,带毒运行会造成很大的损失。怎样在程序一染上病毒就让用户发现呢? 我们知道,当一个程序被编译成.EXE或.COM文件后,其产生日期和文件大小便固定了,除非被病毒感染或人为修改。因此,在文件编制完成     

检病毒一法

当今,电脑已深入到各行各业之中,甚至不少家庭都拥有一部个人电脑.电脑在各行应用中,贮存了大量的重要资料和应用、编译程序,一旦这些资料和程序掉失,后果不堪设想.资料的破坏大部分原因是遭到病毒的攻击.电脑病毒一般是通过购买新软件或软件交流之类的活动而传染上的.既然是这样,我们有什么办法知道新的软件到底是否带有病毒呢?我想,是有办法的.病毒一般来说有系统、文件型两类,系统型病毒易被发现和清除.当有新的软件盘时.用PCTOLLS留意观察一下新磁盘的BOTT区或用DEBUG对新磁盘的BOOT区进行反汇编,就能知道是否有病毒了.但文件型病毒千变万化,有常驻型和个驻留型.他们的踪迹很难发现.不过,他们的共同特点是.感染文件时.都要打开文件才能感染这些文件.因此.如果运行一个新的程序时,能知道这个程序有没有打开其它无关的文件,就可知道这个文件是否感染上病毒了.     

计算机病毒(2)

计算机病毒可按照其感染系统的方式进行分类: 文件感染病毒:文件感染病毒将病毒代码加到可运行的程序文件中,因此这种病毒在运行程序时即被激活。当这种病毒被激活时,它就传播给其它程序文件。 引导扇区病毒:引导扇区是硬盘的一部分,当开机时它便控制操作系统如何动作。引导扇区病毒用它自己的数据来代替硬盘的原始引导扇区,并将病毒装入内存,病毒一旦进入内存,就可以传播给其它磁盘。     

我用KV杀病毒

病毒名称：I-Worm/Hybris（螺旋病毒），病毒类型：网络蠕虫，爆发时间：9月16号和24号，病毒描述：该网络蠕虫可以通过电子邮件OUTLOOK来传播，修改Windows系统下的主管电子邮件收发的文件Wsock32.dll文件。它与别的网络蠕虫程序的不同之处在于它可以通过网络不断自动发送网络蠕虫程序本身，而且发送的文件的名称是变化的。     

Dabi病毒的分析与清除

本刊94年第8期曾刊出了《警惕!尚未达到发作条件的“东方红”病毒》一文.但并未登出清病毒程序.艾立武先生通过对病毒代码的分析,弄清了该病毒的原理,并编制了清毒程序KDABI.ASM,把该程序编译、链接转换为COM文件后使用,使用时先进入要清毒的目录下.然键入“KDABI文件名(回车)”即可,文件名可以含有通配符(＊和?),可以一次清除多个文件.该程序在LC486微机上调试通过,使用起来效果良好.     

“5120”病毒的防治

一、病毒的特点受感染的.COM和.EXE文件长度分别增加5125和5120字节;受感染程序在调入时,速度明显减慢,但运行时速度无明显变化,不感染COMMAND.COM,为一种良性病毒.某些文件不被感染,如WINDOWS文件,但由于病毒体较长,容易迅速占满软硬盘空间,而带来不少麻烦.二、病毒的运行1、“5120”病毒的引入(1)运行带毒文件.(2)如是.COM,则转(3);如是.EXE文件,则恢复原程序的一些参数:SS,SP,CS,IP,转(3).(3)调用中断21H,功能号ACACH,如果AX返回     

用TurboC编程检测和消除“627”病毒

最近,我系网络研究室的微机感染上了一种新型计算机病毒,使用CPAV2.0及KILL68均不能检测和消除.由于该病毒的感染,使数据传输受阻,严重时甚至导致整个网络瘫痪.经分析,该病毒为一文件型病毒,只传染大于1KB的.COM文件,且传染速度非常快,使文件长度增加627—639字节不等.由于该病毒使COMMAND.COM文件长度增加627B,故在各权威机构尚未正式命名之前,我们暂称之为“627病毒”.下面分几部分对627病毒进行讨论,并给出检测和消毒程序.     

修复杀毒软件无法启动的错误

在使用360安全卫士或瑞星等杀毒软件时,忽然弹出"应用程序正常初始化(0xc00000ba)失败"的提示,致使程序无法运行,即使重装程序也不行。目前至少有两种病毒会导致杀毒软件出现这种故障,一是"Win32.Troj.Romdrivers.ka"(罗姆病毒),二是"ghost.pif"的新变种。这两种病毒会在杀毒软件的安装目录下,生成一个名为"ws2_32.dll"的文件或文件夹,正是该文件或文件夹导致程序启动时出现了"程序初始化(0xc00000ba)失败"的错误提示。     

USTC病毒的检测与清除

最近,笔者发现了一种新病毒,广泛流行于PC机上,用目前的Kill、Scan及最新的Cpav 2.1均不能测出.该病毒长度为919个字节,由于尾部有“USTC’四个字符,所以笔者紧其取名为“USTC”病毒.USTC病毒是一种文件型病毒,它只感染.EXE文件,由于病毒在感染.EXE文件的,仅仅修改了.EXE文件的文件头中保存的该.EXE文件载入内存执行定位时SP的值,没有修改IP的值,所以受感染的文件一般增长919至934个字节.该病毒修改了DOS功能调用INT 21H,其病毒INT 21H的入口在XXXX:0156处.在带有USTC病毒的内存中断向量表0000:0084处,可看到此病毒入口地址.当带有USTC病毒的文件运行时,程序首先执行病毒体部分,病毒直接读出中断向量表0000:0188处(INT62H的中断向量地址)的值,通过判断该值是否为55AAH来确定采统是否已感染病毒.如果不是55AAH,病毒便认为系统没有受到感染,于是就启动感染模块.     

INOC病毒的解密与消除

本系近来遇到一种新病毒,其现象是感染“.EXE”文件和长度不大于2048字节的“.COM”文件(但不感染COMMAND.COM),感染后长度增加1787～1833字节。用美国的CPAV1.4和MCAFEESCAN113等均无法检测出来;用冰岛大学推出的F-PROT软件可以检测出文件感染了名为“INOC”的病毒,但无法清除,只能把被感染文件改名(“.COM”改为“.VOM”;“.EXE”改为“.VXE”)。运行了带毒程序后,用MEM或MI命令可以看到病毒已用该程序的名字驻留内存,占用2288字节,并截取了INT 2F中断。此外该病毒还有一个特殊现象;若是被感染的文件名为SCAN.EXE,那么运行该文件时屏幕上将会显示出如下一段信息:     

文件型病毒预警程序

目前,计算机病毒,特别是文件型病毒,风狂流行,其主要原因之一就是,病毒的隐蔽性使人们很难及早发现它的存在.当发现病毒时,它往往已传播得很广,并已造成某种破坏或已使计算机系统病入膏肓了.由此可见,能及早发现病毒,是阻止它进一步传播或破坏的有效途径之一.为此,笔者用Turbo BASIC 1.1写了一个文件型病毒预警程序.有关其原理和编译过程的详细情况,请参见笔者在《赋予程序抗病毒能力》(《电脑1996.8》第39页)一文中的阐述.概括地说,该预警程序是通过检查自身是否已染病毒来推断整个系统是否已染病毒的.当它发现自已染毒时,就马上提醒用户“发现病毒”,并置返回码为1;否则什么也不说,且置返回码为零.下面着重介绍预警程序AVWARN-ER.EXE的用法.1. 保留一份AVWARNER.EXE的干净备份.这是很重要的,是正确使用该预警程序的关键.因此,笔者愿为大家     

伊妹病毒“美丽杀”

1999年新年伊始,越来越多的网友选择了电子邮件贺卡来传递新年祝福.在传递文本或超文本格式的贺卡同时,一些通过附件传递的小贺卡程序与含有各种宏程序的文件(特别是微软的Word和Excel文档)也大量在网上散播.给一些恶作剧的病毒以可乘之机,Happy99病毒就是这样的一例.感染了这一病毒之后,每当你向外发送一封Email时,它就会自动在附件内添加一份名为Hap-py99.exe的病毒文件,对方只要运行该文件便完成了该病毒的感染过程.目     

一种新型计算机病毒的分析和诊治

笔者最近发现了一种新的良性计算机病毒，用现有的CPAV，SCAN等反病毒软件都不能诊治。感染该病毒的程序比原来增加了1465个字节，因而笔者称这种病毒为1465病毒。分析了核病毒的程序后，用C语言编制了诊治该病毒的程序。1465病毒附在COM和EXE文件的后部。运行有毒文件时，首先执行病毒部分。病毒先检查对号中断，如果对号中断已感染病毒，则执行文件的正常部分；如果对号中断未感染病毒，刚修改对号中断，使其附有1465病毒，并感染COMMAND．COM文件。在内存感染的情况下使用DIR命令，感染相应的COM和EXE文件，并显示文件原来…     

时文选译

新病毒威胁合法程序 在病毒爆发后的第一个24小时,ESET就截获了3万个感染文件 用Delphi编程语言编写的合法程序和软件看来要受Win32／Induc．A之害了一一种并不像一般情况生成一个exe病毒文件,而是代之以感染DelphiIDE（集成开发环境）。这样以来,在中毒电脑上编译的每个文件就都带上了病毒。     

DEMOCRACY病毒分析

笔者用公安部KILL70查毒软件检查一张软盘时,发现有几个文件含有DEMOCRACY病毒,杀毒后文件不能运行,于是对病毒进行了分析,基本弄清了病毒原理,现介绍如下.传染机理该病毒有效长度为OEB7H(3767)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,利用DOS中断调用的48H号功能,申请一块大小为FOH节(3840字节)的内存,然后驻留内存,用PCTOOLS看内存容量时,内存总量并不减少,但可用内存减少3840+16字节.     

由一例病毒分析看Novell网的漏洞

近几个月来在我们的Novell网上发现有些.EXE文件长度增加,少数程序不能执行,DOS报告是EXE文件出错。经分析,原因是染上了病毒,由于该病毒末尾有CRACK NOVELL字符,又利用Novell的一个漏洞对Novell网安全性构成威胁,故暂命名为Crack Novell病毒,该病毒用SCAN CPAV KILL KV300 AV95等均查不出。 该病毒只感染EXE文件,链接于文件尾部,驻留内存后在运行文件时感染。文件被感染后,文件头中的文件长度,文件字符累加和及初始IP CS值被改,文件增长1024～1039不等。由于病毒无表现模块,若不注意,较难发现。 此病毒的特点在于对Novell网安全性的破坏。病毒通过修改MCB链驻留内存高端后拦截了INT 2IH的4BH子功能     

走出病毒误区

对染毒软盘进行dir操作会感染病毒吗？不会,如果计算机的内存没有病毒,那么只有在执行了带有病毒的程序（文件）后才会感染计算机。而dir命令是DOS的内部命令。不需要执行任何外部程序（文件）,因此对染毒软盘进行协操作不会感染病毒。不过需要注意的是,如果计算机内存已有病毒（或者说计算机已染毒）,即使对没有染病毒的软盘进行山r操作,也可能会感染软盘。是否将文件改为只读方式就不会感染病毒？不对。这对防范病毒设有任何用处。既然你可以通过计算机将文件改为只读方式,那么以传播为目的的病毒当然也可以通过计算机将文件改回…     

KV未知病毒扫描程序 你用好了吗?

K V2006里的“可疑文件扫描程序”是通过多种病毒行为特征对可疑文件进行综合判断的,不依赖于病毒库,可检测到绝大部分未知病毒和可疑程序。扫描发现具有病毒行为特征的文件后,程序会给出一个可疑概率,一般地讲,可疑概率在25%以上,大家就需要小心了,如果概率在30%以上,我们就可     

神秘的3783病毒

最近,笔者发现了一种新的病毒,用目前常用的KV300、VRVNT、KILL等杀毒软件均不能发现和清除,因其感染EXE和COM文件时,使文件长度增长3783字节,故取名为3783病毒.它是一种两栖型(又称混合型)病毒,它既是系统型病毒,感染硬盘主引导扇区(即0道0头1扇区)和软盘的逻辑0扇区,又是文件型病毒,专门感染EXE文件和COM文件.3783病毒的神秘之处在于以下几点:其一,3783病毒感染硬盘和软盘时,病毒的首语句是JMP 013E(EB 3C),特别是软盘的逻辑0扇区,DOS 5.0以上版本的引导程序的首语