计算机病毒(2)

计算机病毒可按照其感染系统的方式进行分类: 文件感染病毒:文件感染病毒将病毒代码加到可运行的程序文件中,因此这种病毒在运行程序时即被激活。当这种病毒被激活时,它就传播给其它程序文件。 引导扇区病毒:引导扇区是硬盘的一部分,当开机时它便控制操作系统如何动作。引导扇区病毒用它自己的数据来代替硬盘的原始引导扇区,并将病毒装入内存,病毒一旦进入内存,就可以传播给其它磁盘。     

神秘的3783病毒

最近,笔者发现了一种新的病毒,用目前常用的KV300、VRVNT、KILL等杀毒软件均不能发现和清除,因其感染EXE和COM文件时,使文件长度增长3783字节,故取名为3783病毒.它是一种两栖型(又称混合型)病毒,它既是系统型病毒,感染硬盘主引导扇区(即0道0头1扇区)和软盘的逻辑0扇区,又是文件型病毒,专门感染EXE文件和COM文件.3783病毒的神秘之处在于以下几点:其一,3783病毒感染硬盘和软盘时,病毒的首语句是JMP 013E(EB 3C),特别是软盘的逻辑0扇区,DOS 5.0以上版本的引导程序的首语     

一种新的DOS病毒——新世纪病毒

最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件     

934病毒的检测与消除

(1)病毒发作特征:运行934病毒感染的文件时,系统进入图形状态,驻留内存;PCTOOLS及MEM.EXE不能发现内存减少。 (2)病毒感染特征:只感染COM文件,感染文件长度增加3A6H(934)字节。 (3)病毒感染过程:将3A6H(934)字节长的病毒代码附在COM文件尾,将原COM文件开头4字节移到病毒代码偏移OBH处,即带毒文件长度减29BH偏移处;COM文件开头置跳     

PC─cillin──电脑病毒免疫系统

PC－cillin是一套结合软件防毒程序与硬件免疫锁的病毒免疫系统。其功能强大的智慧型病毒陷阱能侦察到所有已知及未知的病毒，以保护PC机不受病毒的威胁。PC－。illin在安装前扫描系统（硬盘）并清除被感染的文件，其监测程序以内存驻留方式时刻保护PC机免受病毒侵扰；其硬件免疫锁在PC－cillin安装时能安全地备份硬盘引导园区（B00t）及硬盘分区表（FAT）信息，用以硬盘引导扇区遭感染时的自动修复。计算机病毒增长速度之快是大家所有目共睹的，因此需要一种比较完善的防毒产品（除了有预防已知和未知病毒的功能外，还具有查毒、清毒…     

火炬病毒的机理和诊治

火炬病毒是一种磁盘引导型病毒,病毒全长446个字节。在硬盘上,病毒存储于主引导扇区,重写主引导程序,但保留硬盘分区表;在软盘上,病毒存储于BOOT区,原引导程序被移到1面25道1扇区。火炬病毒的特征字是偏移量为1BCH的两个字节,对这两个字节进行一次异或操作,把结果和A5再进行一次异或操作。如果所得结果为零,那么就是受感染的磁盘,否则就是未感染的磁盘。     

1091病毒分析

该病毒用公安部的KILL 70.01和 McAFee的SCAN117等查毒软件均不能发现,对该病毒进行了分析,发现该病毒很类似1099(Random-formatting)病毒.可以说是其一个变种,正因为如此,一些清毒软件将其误认为1099病毒,产生误动作,将染毒文件弄得无法恢复.所以有必要对该病毒代码的执行过程介绍一下,希望能对大家有所帮助.传染机理:该病毒长度基数为443H(1091)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6EH节(1760字节),然后驻留内存,地址从CS:0100开始.0054:0000开始的一段内     

1349病毒分析

近日发现一种新病毒,用公安部KILL77和McAFee的SCAN117等查毒软件不能发现该病毒,于是对该病毒进行了分析,弄清了病毒程序的执行过程.一、传染机理该病毒长度基数为545H(1349)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6AH节(1696字节),然后驻留内存,地址从CS:0100开始.CS:0000——CS:00FF为病毒运行的数据区.用PCTOOLS看内存容量时,内存总量减少2KB.病毒驻留内存后更改INT21H(DOS功能调用)为XXXX:0287H,更改INT 1CH(时钟中断)为     

一种既不增加文件长度又不破坏主引导区的两栖型病毒—451病毒

最近,笔者发现了一种既不增加文件长度,又不破坏硬盘主引导区的两栖型病毒,由于病毒主体长451字节,故取名为451病毒.用KV200来查感染上451病毒的硬盘,KV200只报告在DOS引导区发现病毒,具体病毒的名字叫不出来,而对硬盘中感染上451病毒的文件,KV200则毫无察觉.用SCAN111及SCAN117来清查感染上451病毒的硬盘,报告结果是硬盘DOS引导区有GENB病毒和一些EXE文件有BFD病毒,但这些版本相应的CLEAN,却报告感染上BFD病毒的EXE文件不能安全地清除病毒,只能删除带毒的文件,因此笔者认为SCAN软件作为     

一种新颖的病毒监视方法

计算机病毒泛滥至今,一直困扰着广大计算机用户,给用户带来的损失颇大。一般来讲,对引导型病毒,可以通过备份DOS系统下的一些重要数据,如硬盘的主引导区、系统引导区、FAT表、目录区来进行预防和补救。而对文件型病毒来讲,它只有在执行的时候才有触发的可能。一旦病毒被激发,轻者造成该软件的崩溃,重者对整个硬盘造成极大的损失。目前的消毒软件很多,原理基本大同小异,主要是通过搜索特征字节来进行检测。一些驻留内存的程序,都是通过截取BIOS的INT     

硬盘主引导扇区的保存和恢复

<正>计算机硬盘的主引导扇区处在硬盘的0头0道1扇区,共512字节.它记录了有关操作系统在系统生成以及对硬盘管理时所必须的信息.然而不幸的是,它却往往是主引导扇区型计算机病毒攻击的对象和隐蔽的地方.若主引导扇区遭到破坏,就无法对硬盘进行操作.如果遇到这种情况时应该怎么办?下面我为大家介绍一种方法.对不同类型的硬盘,安装不同的操作系统,其主引导扇区的内容是不完全一样的,每一个硬盘,其正确的主引导扇区的内容用文件的形式保存在软盘上,在其主引导区遭到破坏时,把它写回硬盘的0头0柱1扇区,问题就可以解决了.     

“格式化”病毒的检测和消除

最近,在本校的机房中出现了一种以前未见过的病毒,这种病毒的传染性和破坏性都较强,如果达到一定的条件,它会对硬盘实施格式化,所以笔者称之为″格式化″病毒。这种病毒的出现已经给我校微机房带来了不小的破坏。笔者通过对此病毒的深入分析,采取了一些有效的措施,控制了它的传播和破坏。 一、病毒的特征,传播和引导 1.特征:该病毒用KV200检查时,提示在硬盘主引导区中有病毒但并未给出明确的名称,可见是一种不常见的病毒。这种病毒占据硬盘的主引导扇区0头0柱面1扇区,或软盘的DOS引导扇区,而把原软盘的DOS引导扇区放在1面79道18扇区中。它的主要标志是距病毒程序首部03AH中的字节DC,而病毒     

对2048LH病毒的消除

《电脑》1994年第11期曾介绍一种2048病毒,该病毒只感染EXE文件,而不感染COM文件.本人最近发现一种病毒,用Cpav、kill62软件不能发现和消除,被感染病毒的文件大小增大2048字节左右,为区别起见,暂称该病毒为2048LH病毒,该病毒属于文件型病毒,专门感染COM和EXE文件,但不感染command.com文件,当该病毒驻留内存后,用Pc-tools或Chkdsk检测,可发现内存减少2K.     

用批命令文件修复硬盘主引导扇区

微机硬盘的主引导扇区,存有硬盘主引导记录和分区表等重要数据,历来是引导型病毒攻击的目标.人们常用DEBUG编—汇编语言程序,利用INT13H的02H功能将硬盘主引导扇区的内容读出,在硬盘以文件形式或存放在软盘上作为备份.若硬盘主引导扇区被病毒感染,再用DEBUG编—汇编语言程序,利用INT 13H的03H功能将备份写入硬盘主引导扇区.在读、写盘过程中,两个汇编语言程序内容变化很小,均用DEBUG编写颇为麻烦,不如用批命令文件编写这两个汇编语言程序更为方便.     

MASK假面具病毒的诊治

该病毒感染硬盘0面0柱1扇区,将原主引导记录和硬盘分区表移到硬盘0面0柱8扇区。病毒感染软盘0面0道1扇区,将原DOS引导记录移到软盘1面0道3扇区。用无病毒DOS系统软盘引导机器后,再用查解病毒软件CPAV1375和国产KILL62均查不出有病毒,用国产广谱查病毒程序KV20检查,告知是一种“普通的引导区新病毒!”。但是,患毒机器起动后,查看内存的中断向量表,没有被病毒修改。用著名NORTON软件和8.0版PCTOOLS的DE软件以及查病毒软件去查看硬盘主引导记录和软盘DOS引导记录,都十分正确,这就奇怪了,病毒藏到哪儿去了呢?经跟踪病毒程序分析,原来是病毒控制了INT13H,当我们要查看硬盘0面0柱1扇区的主引导记     

对硬盘加锁的一种方法

本文介绍一种对硬盘加锁的方法。该方法主要是通过改写和恢复硬盘的主引导扇区来达到对硬盘加锁和解锁。把硬盘主引导写到硬盘的一个隐含扇区上,然后把硬盘某一扇区内容覆盖主引导扇区。当用户使用硬盘时,必须先用软盘启动,执行有通行字的解锁程序,把原来主引导扇区内容复回主引导扇区。使用户可以进入硬盘,当系统再次启动时,由改写过的COMMAND.COM文件再次对硬盘进行加锁。     

病毒防疫站

病毒介绍:该病毒别名为Kriz.3862,是多态型病毒,主要感染PE EXE文件并能驻留内存。当病毒驻留内存时打开任何应用程序文件都将被其感染,且只要扫描文件就将感染。此病毒包含一个十分危险的硬驱动和覆盖CMOS的子程序,在12月25日将被激活。发作时将试图擦除CMOS信息,试图直接擦除硬盘扇区,并用垃圾信息填充Flash BIOS(针对某些类型的BIOS),最终不仅导致机器无法启动,甚至     

浅谈病毒程序对两种计算机资源的依赖性

计算机病毒一般可分为两种类型:引导型病毒和文件型病毒,少数病毒介于两者之间,称为综合性病毒。引导型病毒程序的编制原理基本相同,都是通过修改硬盘0柱0头1扇区中的主引导程序或DOS分区中的分区引导程序来实现的。目前比较有效的防治方法是事先保存主引导扇区和分区引导区的内容,当发现引导型病毒时杀除后再予恢复,消毒过程简单可靠。而真正有威胁的文件型病毒则具有隐蔽性好、传播速度快、破坏性强、不易察觉等特点,因此对文件型病毒程序的检查、对抗和清除很难实现。有感于此,笔者将自己分析病毒特性的体验介绍给广大同行,以求共同商榷。     

恶性病毒RM的清除及硬盘恢复

近日发现一种新病毒。该病毒隐藏在引导扇区,属引导型病毒。发作时,将破坏硬盘文件分配表(FAT),使文件无法读出或执行;甚至还可能破坏分区引导记录,使硬盘“丢失”,因此,这是一种恶性病毒。用现有的清毒软件(CPAV,KILL,SCAN等)都无法查出。由于在病毒代码中有一串特征字符"RMBDRMCCQBDWRM",估且称它为“RM病毒”。     

DEMOCRACY病毒分析

笔者用公安部KILL70查毒软件检查一张软盘时,发现有几个文件含有DEMOCRACY病毒,杀毒后文件不能运行,于是对病毒进行了分析,基本弄清了病毒原理,现介绍如下.传染机理该病毒有效长度为OEB7H(3767)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,利用DOS中断调用的48H号功能,申请一块大小为FOH节(3840字节)的内存,然后驻留内存,用PCTOOLS看内存容量时,内存总量并不减少,但可用内存减少3840+16字节.