共查询到20条相似文献,搜索用时 15 毫秒
1.
2.
(1)病毒发作特征:运行934病毒感染的文件时,系统进入图形状态,驻留内存;PCTOOLS及MEM.EXE不能发现内存减少。 (2)病毒感染特征:只感染COM文件,感染文件长度增加3A6H(934)字节。 (3)病毒感染过程:将3A6H(934)字节长的病毒代码附在COM文件尾,将原COM文件开头4字节移到病毒代码偏移OBH处,即带毒文件长度减29BH偏移处;COM文件开头置跳 相似文献
3.
4.
该病毒用公安部的KILL 70.01和 McAFee的SCAN117等查毒软件均不能发现,对该病毒进行了分析,发现该病毒很类似1099(Random-formatting)病毒.可以说是其一个变种,正因为如此,一些清毒软件将其误认为1099病毒,产生误动作,将染毒文件弄得无法恢复.所以有必要对该病毒代码的执行过程介绍一下,希望能对大家有所帮助.传染机理:该病毒长度基数为443H(1091)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6EH节(1760字节),然后驻留内存,地址从CS:0100开始.0054:0000开始的一段内 相似文献
5.
最近,我们单位出现一种新病毒,用CPAV和SCAN都不能发现它,我对它进行了分析,成功的杀灭了该病毒.因该病毒长度为443H字节,故称其为1091病毒.病毒修改COM文件头的11字节为远跳转指令,使病毒代码首先得到执行,并把原文件头的11字节存入病毒偏移11FH处,对EXE文件,则修改文件头的SS,SP,CS,IP使其指向病毒体,并把原文件头的11字节存入病毒偏移11FH处.病毒代码一运行,首先检测内存有没有驻留该病毒,如没有则把DOS可用内存减少2K字节,并把自身驻留于内存高端,同时修改24H,21H号中断,使其指向病毒内部代码.因此每当运行DIR命令时,病毒开始传播. 相似文献
6.
红色代码病毒及其变种利用微软WEB服务器IIS 4.0或5.0中的一个安全缺陷,攻破计算机系统,并通过自动扫描感染方式继续传播蠕虫,造成大量WEB服务器因遭受攻击而瘫痪。而且最新的红色代码变种——红色代码Ⅱ更是会在被感染的系统上放置后门程序,从而给被感染系统带来极大的系统安全隐患。红色代码病毒影响以下的计算机系统:安装有IIS 4.0或者IIS 5.0且未打补丁的Windows NT 4.0和Windows 2000。 相似文献
7.
“1099”病毒是近年来流行的一种文件型病毒。激发时,将会随机性地改写硬盘,故有的资料称之为“随机格式化病毒”,被改写的硬盘中,文件数据全部丢失,所以是一种“恶性病毒”。1099病毒的感染能力很强,在运行了一个染毒文件后,它就驻留内存,然后在DIR命令下,每列一次目录时,就感染当前目录下的一个可执行文件,先感染.EXE文件,再感染.COM文件。一旦COMMAND.COM文件被感染,则每次开机后它就驻留内存,伺机继续感染其它的可执行文件。研究此病毒可以用如下方法:先把一个无毒的.EXE文件或者.COM文件以.CMP文件复… 相似文献
8.
病毒特征病毒信息:病毒名称:CodeRedll;英文名:W32/CodeRed c.worm别名:红色代码二病毒的运行方式(驻留否):是病毒类型(黑客,蠕虫…):内存型一发现日期:08/04/2001病毒详细资料1.病毒依赖的系统:WinNT/2000(安装且运行了IIS服务程序和Indexing Service服务).2.病毒的感染:通过IIS漏洞,使IIS服务程序处理请求数据包时溢出,导致把此“数据包“当作代码运行.病毒驻留后再次通过此漏洞感染其它服务器.
…… 相似文献
9.
病毒特征病毒信息:病毒名称:CodeRedll;英文名:W32/CodeRed c.worm别名:红色代码二病毒的运行方式(驻留否):是病毒类型(黑客,蠕虫…):内存型一发现日期:08/04/2001病毒详细资料1.病毒依赖的系统:WinNT/2000(安装且运行了IIS服务程序和Indexing Service服务).2.病毒的感染:通过IIS漏洞,使IIS服务程序处理请求数据包时溢出,导致把此"数据包"当作代码运行.病毒驻留后再次通过此漏洞感染其它服务器. 相似文献
10.
11.
笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码: 相似文献
12.
“红色代码”病毒是一种新型网络病毒,所使用的技术充分体现了网络时代网络安全与病毒的巧妙结合,开创了网络病毒传播的新路 相似文献
13.
“红色代码”病毒利用IIS的idqd.dll缓冲区溢出漏洞传染Web服务器,具有拒绝服务攻击的功能,通过调协特洛伊木马可完全控制被感染的Web服务器,本文讨论了其运行机制以及检测和清除方法。 相似文献
14.
15.
近日发现一种新病毒,用公安部KILL77和McAFee的SCAN117等查毒软件不能发现该病毒,于是对该病毒进行了分析,弄清了病毒程序的执行过程.一、传染机理该病毒长度基数为545H(1349)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6AH节(1696字节),然后驻留内存,地址从CS:0100开始.CS:0000——CS:00FF为病毒运行的数据区.用PCTOOLS看内存容量时,内存总量减少2KB.病毒驻留内存后更改INT21H(DOS功能调用)为XXXX:0287H,更改INT 1CH(时钟中断)为 相似文献
16.
笔者用公安部KILL70查毒软件检查一张软盘时,发现有几个文件含有DEMOCRACY病毒,杀毒后文件不能运行,于是对病毒进行了分析,基本弄清了病毒原理,现介绍如下.传染机理该病毒有效长度为OEB7H(3767)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,利用DOS中断调用的48H号功能,申请一块大小为FOH节(3840字节)的内存,然后驻留内存,用PCTOOLS看内存容量时,内存总量并不减少,但可用内存减少3840+16字节. 相似文献
17.
18.
19.
最近,笔者在系机房发现了一种新的系统型病毒,用KILL68和CPAV都查不出.此病毒编得相当简洁,整个病毒的有效代码不足450字节.通过分析病毒程序发现此病毒只对A驱动器内的磁盘和硬盘C进行感染,每月的一号当病毒调用INT13H读写有错或用染毒硬盘引导或感染完硬盘,病毒即发作.病毒发作时在屏幕缓冲区第二页B800:3CH处填写“HAVE A NICE DAY(c)YMP”,故笔者给它命名为NICE DAY VIRUS.若用带毒的磁盘引导系统,病毒修改0:413H单元的值将内存减少两K,并将病毒体移至高端(对于640K机器)9F80:0H处开始存放,修改INT 13H向量指向9F80:0DH,原INT 13H的向量存放于病毒体偏移9H处,病毒的INT 13H主要工作是处理感染A驱软盘和发 相似文献
20.
近期,随着红色代码、蓝色代码、尼姆达、W32.Vote或WTC.exe(美国恐怖事件病毒)等几种病毒的相继登台和大规模发作,IT业界的注意力又集中到了病毒防范与修复技术的讨论上,各种媒体纷纷展开跟踪报道,各防病毒软件厂商和相关机构纷纷推出自己的解决办法和相关活动,如:在红色代码病毒极度肆虐期间,中国计算机网络应急处理协调中心(CNCERT)紧急组建了“CodeRed网络病毒应急同盟”,开始了针对CodeRed网络病毒的 相似文献