共查询到20条相似文献,搜索用时 15 毫秒
1.
本系近来遇到一种新病毒,其现象是感染“.EXE”文件和长度不大于2048字节的“.COM”文件(但不感染COMMAND.COM),感染后长度增加1787~1833字节。用美国的CPAV1.4和MCAFEESCAN113等均无法检测出来;用冰岛大学推出的F-PROT软件可以检测出文件感染了名为“INOC”的病毒,但无法清除,只能把被感染文件改名(“.COM”改为“.VOM”;“.EXE”改为“.VXE”)。运行了带毒程序后,用MEM或MI命令可以看到病毒已用该程序的名字驻留内存,占用2288字节,并截取了INT 2F中断。此外该病毒还有一个特殊现象;若是被感染的文件名为SCAN.EXE,那么运行该文件时屏幕上将会显示出如下一段信息: 相似文献
2.
3.
笔者最近发现了一种新的良性计算机病毒,用现有的CPAV,SCAN等反病毒软件都不能诊治。感染该病毒的程序比原来增加了1465个字节,因而笔者称这种病毒为1465病毒。分析了核病毒的程序后,用C语言编制了诊治该病毒的程序。1465病毒附在COM和EXE文件的后部。运行有毒文件时,首先执行病毒部分。病毒先检查对号中断,如果对号中断已感染病毒,则执行文件的正常部分;如果对号中断未感染病毒,刚修改对号中断,使其附有1465病毒,并感染COMMAND.COM文件。在内存感染的情况下使用DIR命令,感染相应的COM和EXE文件,并显示文件原来… 相似文献
4.
最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件 相似文献
5.
6.
“1099”病毒是近年来流行的一种文件型病毒。激发时,将会随机性地改写硬盘,故有的资料称之为“随机格式化病毒”,被改写的硬盘中,文件数据全部丢失,所以是一种“恶性病毒”。1099病毒的感染能力很强,在运行了一个染毒文件后,它就驻留内存,然后在DIR命令下,每列一次目录时,就感染当前目录下的一个可执行文件,先感染.EXE文件,再感染.COM文件。一旦COMMAND.COM文件被感染,则每次开机后它就驻留内存,伺机继续感染其它的可执行文件。研究此病毒可以用如下方法:先把一个无毒的.EXE文件或者.COM文件以.CMP文件复… 相似文献
7.
DIRⅠ病毒驻留在磁盘的最后一个可用簇,驻留长度为1024字节,并在磁盘文件分配表FAT中将该簇标为FEFF(软盘有所不同)。该病毒首先感染COMMAND.COM文件,此时一旦执行DOS的DIR命令,病毒即进入内存,从而感染当前目录中的可执行文件(.EXE和.COM文 相似文献
8.
1150病毒是一种最近发现的新型病毒,用公安部的KILL76.3或超级巡警KV200 J版皆不能找出和清除这个病毒。病毒的特征是封锁计算机的上部内存,使上部内存区UPPER MEMORY为零,WINDOW不能运行。虽然该病毒只感染EXE文件,但是它的感染力很强。在硬盘上不论哪一个分区,哪一个子目录的DOS格式的EXE文件,不论运行与否,都可能被它找到并感染。特别是EMM386.EXE 相似文献
9.
10.
(1)病毒发作特征:运行934病毒感染的文件时,系统进入图形状态,驻留内存;PCTOOLS及MEM.EXE不能发现内存减少。 (2)病毒感染特征:只感染COM文件,感染文件长度增加3A6H(934)字节。 (3)病毒感染过程:将3A6H(934)字节长的病毒代码附在COM文件尾,将原COM文件开头4字节移到病毒代码偏移OBH处,即带毒文件长度减29BH偏移处;COM文件开头置跳 相似文献
11.
笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码: 相似文献
12.
最近,笔者发现了一种新病毒,广泛流行于PC机上,用目前的Kill、Scan及最新的Cpav 2.1均不能测出.该病毒长度为919个字节,由于尾部有“USTC’四个字符,所以笔者紧其取名为“USTC”病毒.USTC病毒是一种文件型病毒,它只感染.EXE文件,由于病毒在感染.EXE文件的,仅仅修改了.EXE文件的文件头中保存的该.EXE文件载入内存执行定位时SP的值,没有修改IP的值,所以受感染的文件一般增长919至934个字节.该病毒修改了DOS功能调用INT 21H,其病毒INT 21H的入口在XXXX:0156处.在带有USTC病毒的内存中断向量表0000:0084处,可看到此病毒入口地址.当带有USTC病毒的文件运行时,程序首先执行病毒体部分,病毒直接读出中断向量表0000:0188处(INT62H的中断向量地址)的值,通过判断该值是否为55AAH来确定采统是否已感染病毒.如果不是55AAH,病毒便认为系统没有受到感染,于是就启动感染模块. 相似文献
13.
14.
近几个月来在我们的Novell网上发现有些.EXE文件长度增加,少数程序不能执行,DOS报告是EXE文件出错。经分析,原因是染上了病毒,由于该病毒末尾有CRACK NOVELL字符,又利用Novell的一个漏洞对Novell网安全性构成威胁,故暂命名为Crack Novell病毒,该病毒用SCAN CPAV KILL KV300 AV95等均查不出。 该病毒只感染EXE文件,链接于文件尾部,驻留内存后在运行文件时感染。文件被感染后,文件头中的文件长度,文件字符累加和及初始IP CS值被改,文件增长1024~1039不等。由于病毒无表现模块,若不注意,较难发现。 此病毒的特点在于对Novell网安全性的破坏。病毒通过修改MCB链驻留内存高端后拦截了INT 2IH的4BH子功能 相似文献
15.
COM文件与EXE文件的结构区别 DOS环境下可执行文件主要有两种结构,一种为COM文件,其最大64K,另一种为EXE文件,其最大可达到所有可使用磁盘空间的长度。COM文件相当于小型程序,运行COM文件时,所有段寄存器值均相同,即代码、数据及堆栈均处于同一段中,而EXE文件中各段寄存器可以各不相同,即以上三部分可同时存在于不同的段中。COM程序存储在盘上时,是内存的完全映像,而EXE文件却以特殊的形式存在盘上,有唯一的文件头,文件头内有内存分配图、累加和以及其它的DOS有用的信息。另外,COM文件优先级高于EXE文件,在调用相同名字的COM 相似文献
16.
笔者在单位的微机上发现一种新病毒,这种病毒只感染可执行文件(.COM和.EXE),用当前的CPAV、MSAV和SCAN均不能发现该病毒,唯有“超级巡警”KV200能够发现,但不能清除它.该病毒代码长为898个字节,对可执行文件传染后,文件字节增加930个字节,故称之为930/3A2病毒. 相似文献
17.
李树山 《电脑编程技巧与维护》1995,(10):68-68
DIR—2病毒的宿主是可执行文件,当运行了带毒的文件后,其病毒部分驻留内存,并感染默认目录及根目录下的.EXE、.COM文件,染毒文件的长度、日期均不改变。它不寄生在染毒的文件上,而是隐藏在磁盘的最后两个簇上,通过修改被感染文件的首簇号使之指向磁盘的最后两个簇。实现对可执行文件的感染。该病毒传播迅速、破坏性大,用KILL、SCAN等清毒软件均可检测出来,但用它们清除病毒时,它 相似文献
18.
一、病毒的特点受感染的.COM和.EXE文件长度分别增加5125和5120字节;受感染程序在调入时,速度明显减慢,但运行时速度无明显变化,不感染COMMAND.COM,为一种良性病毒.某些文件不被感染,如WINDOWS文件,但由于病毒体较长,容易迅速占满软硬盘空间,而带来不少麻烦.二、病毒的运行1、“5120”病毒的引入(1)运行带毒文件.(2)如是.COM,则转(3);如是.EXE文件,则恢复原程序的一些参数:SS,SP,CS,IP,转(3).(3)调用中断21H,功能号ACACH,如果AX返回 相似文献
19.
最近,笔者在微机上发现一种新病毒,因其表现时屏幕显示“Hello,Welcome to BUPT 9146,Beijing!”故将其命令名为BUPT9146病毒.用KILL68及MS-DOS6的MSAV均查不出此病毒.经过跟踪分析,笔者掌握了病毒的运行机制及待点,在此介绍给大家,以便及时发现和清除.一、特征.①病毒属良性文件型病毒,被感染COM文件长度增加1367字节,EXE文件增加1364-1379字节,COMMAND.COM文件受病毒保护不被感染.②被感染文件尾部四字节为病毒的标志字节“C6 CECB C9”.③用工具软件可在被感染文件中搜索到字串“Onlyfor experiment.BUPT”. 相似文献
20.
近几个月,笔者在上机时,机器常出现死机现象,检查文件发现EXE文件无故增长1150字节,确认感染病毒,但使用KILL76.02、KV200(J)和CPAV2.0均不能查解,经分析发现为新病毒,定名为1150/Burglar病毒。分析与消毒方法如下。 1.病毒特性 参见附表,该病毒为常驻内存的文件型病毒,感染EXE文件,修改原文件的文件头,病毒体追加在EXE文件的尾部。当染毒文件运行时,病毒首先使用DOS功能调用的扩展功能F0H来判断病毒是否已驻留内存,调用返回AX寄存器,如AX=0,则表明病毒已驻留内存,病毒恢复原EXE文件的IP、CS、SS,运行被感染文件,反之,则先驻留病毒自身,再恢复执行染毒文件。 相似文献