INOC病毒的解密与消除

本系近来遇到一种新病毒,其现象是感染“.EXE”文件和长度不大于2048字节的“.COM”文件(但不感染COMMAND.COM),感染后长度增加1787～1833字节。用美国的CPAV1.4和MCAFEESCAN113等均无法检测出来;用冰岛大学推出的F-PROT软件可以检测出文件感染了名为“INOC”的病毒,但无法清除,只能把被感染文件改名(“.COM”改为“.VOM”;“.EXE”改为“.VXE”)。运行了带毒程序后,用MEM或MI命令可以看到病毒已用该程序的名字驻留内存,占用2288字节,并截取了INT 2F中断。此外该病毒还有一个特殊现象;若是被感染的文件名为SCAN.EXE,那么运行该文件时屏幕上将会显示出如下一段信息:     

2048病毒

最近广州出现了一种新病毒,用目前人们使用的KILL和SCAN软件,不能查出或清除该病毒.由于受该病毒感染的EXE文件都增长2048字节,故笔者称之为2048病毒.2048病毒是一种文件型病毒,但它只感染EXE文件,而不感染COM文件.2048病毒和许多病毒一样,在功能调用INT 21H和磁盘中断INT 13H上做文章.但2048病毒与众不同的地方在于它在设置病毒INT 21H和病毒INT13H时,并没有修改中断向量表中记录的INT 21H和INT 13H的入口地址,而是采用了移花接木的手法.     

一种新型计算机病毒的分析和诊治

笔者最近发现了一种新的良性计算机病毒，用现有的CPAV，SCAN等反病毒软件都不能诊治。感染该病毒的程序比原来增加了1465个字节，因而笔者称这种病毒为1465病毒。分析了核病毒的程序后，用C语言编制了诊治该病毒的程序。1465病毒附在COM和EXE文件的后部。运行有毒文件时，首先执行病毒部分。病毒先检查对号中断，如果对号中断已感染病毒，则执行文件的正常部分；如果对号中断未感染病毒，刚修改对号中断，使其附有1465病毒，并感染COMMAND．COM文件。在内存感染的情况下使用DIR命令，感染相应的COM和EXE文件，并显示文件原来…     

一种新的DOS病毒——新世纪病毒

最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件     

B483病毒

最近,在我单位的计算机上发现了一种新的病毒,用CPAV、KILL、SCAN均无法检测出来。我对病毒进行了彻底的分析,成功的清除了病毒。因该病毒运行后在内存0000:053E处有B483标志,所以称之为B483病毒。该病毒是文件型病毒,它的感染对象是绝大部分COM文件和EXE文件。     

清除1099病毒及其变形的方法

“1099”病毒是近年来流行的一种文件型病毒。激发时，将会随机性地改写硬盘，故有的资料称之为“随机格式化病毒”，被改写的硬盘中，文件数据全部丢失，所以是一种“恶性病毒”。1099病毒的感染能力很强，在运行了一个染毒文件后，它就驻留内存，然后在DIR命令下，每列一次目录时，就感染当前目录下的一个可执行文件，先感染．EXE文件，再感染．COM文件。一旦COMMAND．COM文件被感染，则每次开机后它就驻留内存，伺机继续感染其它的可执行文件。研究此病毒可以用如下方法：先把一个无毒的．EXE文件或者．COM文件以．CMP文件复…     

DIRⅡ病毒的检测和清除

DIRⅠ病毒驻留在磁盘的最后一个可用簇,驻留长度为1024字节,并在磁盘文件分配表FAT中将该簇标为FEFF(软盘有所不同)。该病毒首先感染COMMAND.COM文件,此时一旦执行DOS的DIR命令,病毒即进入内存,从而感染当前目录中的可执行文件(.EXE和.COM文     

1150病毒及解毒程序

1150病毒是一种最近发现的新型病毒,用公安部的KILL76.3或超级巡警KV200 J版皆不能找出和清除这个病毒。病毒的特征是封锁计算机的上部内存,使上部内存区UPPER MEMORY为零,WINDOW不能运行。虽然该病毒只感染EXE文件,但是它的感染力很强。在硬盘上不论哪一个分区,哪一个子目录的DOS格式的EXE文件,不论运行与否,都可能被它找到并感染。特别是EMM386.EXE     

1425病毒

笔者最近发现了一种新病毒,用目前的KILL软件及SCAN软件均不能测出,因受感染的EXE文件或COM文件,增长约1425字节,故笔者称之为1425病毒.1425病毒是一种文件型病毒,它更改了功能调用中断INT 21H.其病毒INT 21H的入口在XXXX:0287.在带有1425病毒的内存中断向量表0000:0084处可看到这个病毒的入口地址.     

934病毒的检测与消除

(1)病毒发作特征:运行934病毒感染的文件时,系统进入图形状态,驻留内存;PCTOOLS及MEM.EXE不能发现内存减少。 (2)病毒感染特征:只感染COM文件,感染文件长度增加3A6H(934)字节。 (3)病毒感染过程:将3A6H(934)字节长的病毒代码附在COM文件尾,将原COM文件开头4字节移到病毒代码偏移OBH处,即带毒文件长度减29BH偏移处;COM文件开头置跳     

Hymn病毒的检测和清除

笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码:     

USTC病毒的检测与清除

最近,笔者发现了一种新病毒,广泛流行于PC机上,用目前的Kill、Scan及最新的Cpav 2.1均不能测出.该病毒长度为919个字节,由于尾部有“USTC’四个字符,所以笔者紧其取名为“USTC”病毒.USTC病毒是一种文件型病毒,它只感染.EXE文件,由于病毒在感染.EXE文件的,仅仅修改了.EXE文件的文件头中保存的该.EXE文件载入内存执行定位时SP的值,没有修改IP的值,所以受感染的文件一般增长919至934个字节.该病毒修改了DOS功能调用INT 21H,其病毒INT 21H的入口在XXXX:0156处.在带有USTC病毒的内存中断向量表0000:0084处,可看到此病毒入口地址.当带有USTC病毒的文件运行时,程序首先执行病毒体部分,病毒直接读出中断向量表0000:0188处(INT62H的中断向量地址)的值,通过判断该值是否为55AAH来确定采统是否已感染病毒.如果不是55AAH,病毒便认为系统没有受到感染,于是就启动感染模块.     

神秘的3783病毒

最近,笔者发现了一种新的病毒,用目前常用的KV300、VRVNT、KILL等杀毒软件均不能发现和清除,因其感染EXE和COM文件时,使文件长度增长3783字节,故取名为3783病毒.它是一种两栖型(又称混合型)病毒,它既是系统型病毒,感染硬盘主引导扇区(即0道0头1扇区)和软盘的逻辑0扇区,又是文件型病毒,专门感染EXE文件和COM文件.3783病毒的神秘之处在于以下几点:其一,3783病毒感染硬盘和软盘时,病毒的首语句是JMP 013E(EB 3C),特别是软盘的逻辑0扇区,DOS 5.0以上版本的引导程序的首语     

由一例病毒分析看Novell网的漏洞

近几个月来在我们的Novell网上发现有些.EXE文件长度增加,少数程序不能执行,DOS报告是EXE文件出错。经分析,原因是染上了病毒,由于该病毒末尾有CRACK NOVELL字符,又利用Novell的一个漏洞对Novell网安全性构成威胁,故暂命名为Crack Novell病毒,该病毒用SCAN CPAV KILL KV300 AV95等均查不出。 该病毒只感染EXE文件,链接于文件尾部,驻留内存后在运行文件时感染。文件被感染后,文件头中的文件长度,文件字符累加和及初始IP CS值被改,文件增长1024～1039不等。由于病毒无表现模块,若不注意,较难发现。 此病毒的特点在于对Novell网安全性的破坏。病毒通过修改MCB链驻留内存高端后拦截了INT 2IH的4BH子功能     

学编COM文件

COM文件与EXE文件的结构区别 DOS环境下可执行文件主要有两种结构,一种为COM文件,其最大64K,另一种为EXE文件,其最大可达到所有可使用磁盘空间的长度。COM文件相当于小型程序,运行COM文件时,所有段寄存器值均相同,即代码、数据及堆栈均处于同一段中,而EXE文件中各段寄存器可以各不相同,即以上三部分可同时存在于不同的段中。COM程序存储在盘上时,是内存的完全映像,而EXE文件却以特殊的形式存在盘上,有唯一的文件头,文件头内有内存分配图、累加和以及其它的DOS有用的信息。另外,COM文件优先级高于EXE文件,在调用相同名字的COM     

930／3A2病毒的检测和清除

笔者在单位的微机上发现一种新病毒,这种病毒只感染可执行文件(.COM和.EXE),用当前的CPAV、MSAV和SCAN均不能发现该病毒,唯有“超级巡警”KV200能够发现,但不能清除它.该病毒代码长为898个字节,对可执行文件传染后,文件字节增加930个字节,故称之为930/3A2病毒.     

恢复感染DIR—2病毒文件的方法

DIR—2病毒的宿主是可执行文件,当运行了带毒的文件后,其病毒部分驻留内存,并感染默认目录及根目录下的.EXE、.COM文件,染毒文件的长度、日期均不改变。它不寄生在染毒的文件上,而是隐藏在磁盘的最后两个簇上,通过修改被感染文件的首簇号使之指向磁盘的最后两个簇。实现对可执行文件的感染。该病毒传播迅速、破坏性大,用KILL、SCAN等清毒软件均可检测出来,但用它们清除病毒时,它     

“5120”病毒的防治

一、病毒的特点受感染的.COM和.EXE文件长度分别增加5125和5120字节;受感染程序在调入时,速度明显减慢,但运行时速度无明显变化,不感染COMMAND.COM,为一种良性病毒.某些文件不被感染,如WINDOWS文件,但由于病毒体较长,容易迅速占满软硬盘空间,而带来不少麻烦.二、病毒的运行1、“5120”病毒的引入(1)运行带毒文件.(2)如是.COM,则转(3);如是.EXE文件,则恢复原程序的一些参数:SS,SP,CS,IP,转(3).(3)调用中断21H,功能号ACACH,如果AX返回     

病毒BUPT 9146

最近,笔者在微机上发现一种新病毒,因其表现时屏幕显示“Hello,Welcome to BUPT 9146,Beijing!”故将其命令名为BUPT9146病毒.用KILL68及MS-DOS6的MSAV均查不出此病毒.经过跟踪分析,笔者掌握了病毒的运行机制及待点,在此介绍给大家,以便及时发现和清除.一、特征.①病毒属良性文件型病毒,被感染COM文件长度增加1367字节,EXE文件增加1364-1379字节,COMMAND.COM文件受病毒保护不被感染.②被感染文件尾部四字节为病毒的标志字节“C6 CECB C9”.③用工具软件可在被感染文件中搜索到字串“Onlyfor experiment.BUPT”.     

1150／Burglar病毒的分析与清除

近几个月,笔者在上机时,机器常出现死机现象,检查文件发现EXE文件无故增长1150字节,确认感染病毒,但使用KILL76.02、KV200(J)和CPAV2.0均不能查解,经分析发现为新病毒,定名为1150/Burglar病毒。分析与消毒方法如下。 1.病毒特性 参见附表,该病毒为常驻内存的文件型病毒,感染EXE文件,修改原文件的文件头,病毒体追加在EXE文件的尾部。当染毒文件运行时,病毒首先使用DOS功能调用的扩展功能F0H来判断病毒是否已驻留内存,调用返回AX寄存器,如AX=0,则表明病毒已驻留内存,病毒恢复原EXE文件的IP、CS、SS,运行被感染文件,反之,则先驻留病毒自身,再恢复执行染毒文件。