GENE病毒的一个变种

笔者最近发现一种病毒,与《电脑》杂志95年第1期中介绍的GENE病毒极其相似,故判断该病毒为GENE病毒的一个变种.该病毒的长度为1569字节,笔者依此将其称为GENE/1569病毒.一、病毒的基本特征GENE/1569病毒属文件型病毒,只感染非只读属性的EXE文件,被感染文件长度增长1569-1585字节,日期和时间均不改变,文件末尾两字节为AAAAH,这是病毒用来判断文件是否已被感染的标志,在被感染文件中还有一未加密的字符串“Gene-1991-in DUP(Dalian Chi-na)”.根据这几项特征,可以判断一个EXE文件是否已被感染.     

13XX病毒的清除

最近,笔者发现一种新型计变机病毒,该病毒成功地逃避了SCAN108、CPAV2.0、KILL70的合围.该病毒只传染EXE文件,目染毒文件长度增加1366字节到1382字节不等.(据此命名)它只是在DIR时传染.病毒特征为文件前2条指令是:     

“郑州”病毒的清除

鉴于这种病毒体内带有“ＺｈｅｎｇＺｈｏｕＣｉｎａ”标志，故称其为“郑州”病毒。该病毒具有引导型病毒及外壳型病毒的双重特征，而且现有解毒软件不能发现与消除它，为此，介绍了“郑州”病毒的表现形式，传染途径以及清除该病毒的方法。     

清除1099病毒及其变形的方法

“1099”病毒是近年来流行的一种文件型病毒。激发时，将会随机性地改写硬盘，故有的资料称之为“随机格式化病毒”，被改写的硬盘中，文件数据全部丢失，所以是一种“恶性病毒”。1099病毒的感染能力很强，在运行了一个染毒文件后，它就驻留内存，然后在DIR命令下，每列一次目录时，就感染当前目录下的一个可执行文件，先感染．EXE文件，再感染．COM文件。一旦COMMAND．COM文件被感染，则每次开机后它就驻留内存，伺机继续感染其它的可执行文件。研究此病毒可以用如下方法：先把一个无毒的．EXE文件或者．COM文件以．CMP文件复…     

“新世纪”病毒的清除

本文给出了清除病毒的方法和一个完整的清除病毒程序。     

1786病毒的分析与清除

朋友送来一含病毒的程序,称用SCAN116,CPAV2.0,KILL70.01,CLEAR0.9均查不出任何结果,但是CLEAR发出警告说内存已经被未知病毒感染.经过仔细研究,发现该病毒有两个特点:1、运用了一种较为先进的后跟踪手段一逆指令法,简单地说,就是将指令的执行方向由从前向后改为从后向前,利用INT01单步中断的特性,每执行一条指令后,进入单步中断处理程序,将病毒的后续指令移至CS:IP所指向的地址,然后中断返回.直至所有的逆指令均已运行完毕.     

3072病毒的分析与消除

本文分析了一种新型的病毒－３０７２病毒的表现方法，工作机理，阐述了它的反跟踪技术，是隍给出诊断与清除的方法。     

Hymn病毒的检测和清除

笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码:     

1741病毒的自动清除程序

给出一个完善的清除病毒程序，可自动检索全磁盘的运行文件，摘除文件上的病毒，完全恢复原来的正确程序。     

1099病毒的检测及清除

1099病毒是一种文件型病毒,攻击扩展名为EXE和COM的可执行DOS文件。该病毒代码长度为1099字节,故称其为“1099病毒”。1 1099病毒感染文件的特点及危害性 该病毒不感染长度低于2KB的文件。病毒代码附着在被感染文件尾部,文件长度增量为1099B 1～16B。原因是该病毒总是将自身复制到原文件末尾之后的第一个节地址(即能被16整除的磁盘地址)处,而在病毒体首字节与原文件末尾之间任意填充内容,导致文件长度增     

1741病毒的分析与清除

最近,在我室微机上发现一种新病毒,用KILL、SCAN、CPAV等杀毒软件均不能清除该病毒,笔者通过对该病毒的分析,弄清了该病毒的原理,并用汇编语言编制了杀毒软件K1741.ASM(本期程序盘中)。 一、检测 当计算机内存中存在该病毒时,表现出列目录时间变长,读写盘时间变长,运行一些大型程序时提示内存不够或干脆死机。用PCTOOLS察看文件,发现文件长度增加1741～1757字节不等,用DEBUG或PCTOOLS察看文件倒数第5、6字节为7859H时,则可确定已感染了该毒。     

3072病毒的分析与清除

1、简述笔者遇到一种复合病毒,类似米氏病毒,既可传染硬盘主引导程序,又可传染可执行文件(.COM,EXE),只是因为对.COM文件,其长度增加3072字节(C00H),对.EXE文件,其长度增加3072-3090字节,故暂名为3072病毒,用SCAN V117和KILL V77均不能杀死.该病毒不传染软盘BOOT区,但传染性较强.加载运行及内存有毒的情况下进行目录搜索,均可实施传染.2、表现方法(1)键盘随机锁定,或字母为大小互变,上下档互交.PUSH DSXOR AX,AXMOV DS,AXMOV WORD PTR[0417],0091POP DS     

Dabi病毒的分析与清除

本刊94年第8期曾刊出了《警惕!尚未达到发作条件的“东方红”病毒》一文.但并未登出清病毒程序.艾立武先生通过对病毒代码的分析,弄清了该病毒的原理,并编制了清毒程序KDABI.ASM,把该程序编译、链接转换为COM文件后使用,使用时先进入要清毒的目录下.然键入“KDABI文件名(回车)”即可,文件名可以含有通配符(＊和?),可以一次清除多个文件.该程序在LC486微机上调试通过,使用起来效果良好.     

1099病毒的分析与清除

近来流行一种新的病毒,常用检测软件对它不能发现和清除.由于其代码长1099字节(44bh),故称之为1099病毒.一、病毒特点1099病毒是一种恶性病毒,它发作时对硬盘进行格式化,使大量的数据丢失,应该引起人们的注意.病毒采取了较强的反跟踪措施,这给分析带来了困难.它首先用指令in al,21hor al,1ahout 21h,al来屏蔽对键盘的响应,然后将指令进行动态恢复,执行以后再将恢复出来的代码、数据清零,因此,同一时刻不能得到全部的反汇编代码.另外,病毒执行过程中用了大量的栈操作及灵活的跳转方式,静态分析不易看清其真面目.     

713病毒的分析与清除

近来,本校流行一种新的病毒,用cpav、scan、kill(各种版本)、duchv、ve多种消毒软件均不能正确检测与消除.这种病毒具有系统引导型病毒和外壳型病毒的特点,不但感染硬盘主引导,而且感染EXE文件及COM文件.由于此病毒发作时间为7月13日,因此暂且把命它名为713病毒.下面先对其进行分析,再给出消除方法.一、病毒的引入机制1.可执行文件中病毒的引入     

CIH病毒的分析与清除

CIH是第一例感染Windows95/98环境下PE格式EXE文件的病毒,病毒发作时直接攻击和破坏计算机硬件系统。剖析CIH病毒机理,掌握在Windows平台下病毒驻留和传染方法,对于预防、检测和清除CIH病毒,乃至预防未来新型Windows病毒都具有十分重要的意义。目前CIH病毒有多个版本,本文将着重对CIHv1.2版本进行剖析。     

USTC病毒的检测与清除

最近,笔者发现了一种新病毒,广泛流行于PC机上,用目前的Kill、Scan及最新的Cpav 2.1均不能测出.该病毒长度为919个字节,由于尾部有“USTC’四个字符,所以笔者紧其取名为“USTC”病毒.USTC病毒是一种文件型病毒,它只感染.EXE文件,由于病毒在感染.EXE文件的,仅仅修改了.EXE文件的文件头中保存的该.EXE文件载入内存执行定位时SP的值,没有修改IP的值,所以受感染的文件一般增长919至934个字节.该病毒修改了DOS功能调用INT 21H,其病毒INT 21H的入口在XXXX:0156处.在带有USTC病毒的内存中断向量表0000:0084处,可看到此病毒入口地址.当带有USTC病毒的文件运行时,程序首先执行病毒体部分,病毒直接读出中断向量表0000:0188处(INT62H的中断向量地址)的值,通过判断该值是否为55AAH来确定采统是否已感染病毒.如果不是55AAH,病毒便认为系统没有受到感染,于是就启动感染模块.