92DIR2——硬卡无法防御的病毒

<正> 最近,我校很多微机都感染上了92DIR2这种新病毒。KILL,CPAV 等著名的解毒反毒软件都不能发现,当然更谈不上解毒了.病毒是这样被发现的,当拷贝可执行文件时,目标盘列目录发现可执行文件长度为1024或2048字节,而在源盘列目录时发现长度正常,这说明肯定有病毒在作怪,运行KILL 和CPAV 没有发现内存有病毒,用debug 程序察看各可执行文件内容,结果发现源盘、     

FLIP病毒的变种——FLIP-2153B

最近,我们发现了兼有文件引导型和系统引导型病毒特点的FLIP病毒的变种FLIP-2153B。其特点是:在带毒文件中,距文件尾部48H处的病毒特征字节是0EB9,在被感染硬盘的主引导扇区,距首部第28字节处的病毒特征字节是5959。病毒从已被感染的可执行文件进入系统时,硬盘立即被感染,但是系统内存不减少;从系统引导过程中进入系统时,系统内存则减少3KB的空间。国家安全局编制的病毒检测软件ScAN 3.1版和查毒软件CPAV能发现位于硬盘主引导扇区的病毒,却不能发现被感染文件中的病毒。病毒编制者修改了病毒的特征字节和部分病毒程序主要是为了逃避查毒软件的检测。     

1759病毒的解剖与消除

笔者最近在一张游戏盘中发现了一种病毒,用CPAV消毒软件无法检测出来。由于该病毒自身长度为1759字节,故在本文中称为1759病毒。 一、病毒的特征和传播 1、该病毒为常驻内存的文件型病毒。一旦执行带毒程序后,病毒即驻留内存。以后只要执行某一个可执行文件病毒即对其进行传染。     

DIRⅡ病毒的检测和清除

DIRⅠ病毒驻留在磁盘的最后一个可用簇,驻留长度为1024字节,并在磁盘文件分配表FAT中将该簇标为FEFF(软盘有所不同)。该病毒首先感染COMMAND.COM文件,此时一旦执行DOS的DIR命令,病毒即进入内存,从而感染当前目录中的可执行文件(.EXE和.COM文     

警惕!4月17日和8月17日的cqZGB病毒

最近,笔者碰到一种新病毒,用最新的SCAN、KILL等消毒程序均不能发现该病毒,但它却有较大的危害性和隐蔽性。现在将对它的分析和消除方法介绍给大家,以便及时准备,使其危害性降低到最小程度。由于该病毒感染文件后文件长度增加2128个字节,所以我们称之为“2128病毒”。 首先,该病毒是一种文件型病毒,可以感染.exe和.com文件。被感染文件的长度要大于6144个字节(即1800H),以增加病毒的隐蔽性;对于.com文件还要求文件长度小于63488字节(即F800H),以免感染病毒后文件长度超过64k。感染病毒后文件长度一般增加2128个字节,病毒体挂在被感染     

3072病毒的分析与清除

1、简述笔者遇到一种复合病毒,类似米氏病毒,既可传染硬盘主引导程序,又可传染可执行文件(.COM,EXE),只是因为对.COM文件,其长度增加3072字节(C00H),对.EXE文件,其长度增加3072-3090字节,故暂名为3072病毒,用SCAN V117和KILL V77均不能杀死.该病毒不传染软盘BOOT区,但传染性较强.加载运行及内存有毒的情况下进行目录搜索,均可实施传染.2、表现方法(1)键盘随机锁定,或字母为大小互变,上下档互交.PUSH DSXOR AX,AXMOV DS,AXMOV WORD PTR[0417],0091POP DS     

Hymn病毒的检测和清除

笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码:     

1091病毒的检测与删除

最近,我们单位出现一种新病毒,用CPAV和SCAN都不能发现它,我对它进行了分析,成功的杀灭了该病毒.因该病毒长度为443H字节,故称其为1091病毒.病毒修改COM文件头的11字节为远跳转指令,使病毒代码首先得到执行,并把原文件头的11字节存入病毒偏移11FH处,对EXE文件,则修改文件头的SS,SP,CS,IP使其指向病毒体,并把原文件头的11字节存入病毒偏移11FH处.病毒代码一运行,首先检测内存有没有驻留该病毒,如没有则把DOS可用内存减少2K字节,并把自身驻留于内存高端,同时修改24H,21H号中断,使其指向病毒内部代码.因此每当运行DIR命令时,病毒开始传播.     

STORYTELLER病毒的分析与防治

1 STORYTELLER病毒的特点最近在国内发现一种新的文件型病毒。该病毒对两类系统可执行文件进行传染。对COM型文件传染时,使文件长度增加1261字节;对EXE型文件传染时,由于是在文件的最末尾从一节的起点开始写病毒程序,所以文件长度增加的字节数为1261～1276。在病毒程序的尾部可以看到如下信息:     

DEMOCRACY病毒分析

笔者用公安部KILL70查毒软件检查一张软盘时,发现有几个文件含有DEMOCRACY病毒,杀毒后文件不能运行,于是对病毒进行了分析,基本弄清了病毒原理,现介绍如下.传染机理该病毒有效长度为OEB7H(3767)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,利用DOS中断调用的48H号功能,申请一块大小为FOH节(3840字节)的内存,然后驻留内存,用PCTOOLS看内存容量时,内存总量并不减少,但可用内存减少3840+16字节.     

对2048LH病毒的消除

《电脑》1994年第11期曾介绍一种2048病毒,该病毒只感染EXE文件,而不感染COM文件.本人最近发现一种病毒,用Cpav、kill62软件不能发现和消除,被感染病毒的文件大小增大2048字节左右,为区别起见,暂称该病毒为2048LH病毒,该病毒属于文件型病毒,专门感染COM和EXE文件,但不感染command.com文件,当该病毒驻留内存后,用Pc-tools或Chkdsk检测,可发现内存减少2K.     

基于免疫原理的可执行文件签名验证模型的研究

病毒发现和防治策略是操作系统安全框架的重要组成部分.目前通过特征码匹配进行查杀病毒的方法通常落后于计算机病毒的发展,已经不能满足日益迫切的安全需求.文章根据生物体免疫系统检测病毒的机理,提出了一种对可执行文件签名验证的模型,通过文件签名界定"自我"和"非我",并以此为依据完成系统中恶意代码的发现.最后介绍了在Windows操作系统下开发的基于可执行文件签名验证模型的病毒检测系统.     

1091病毒分析

该病毒用公安部的KILL 70.01和 McAFee的SCAN117等查毒软件均不能发现,对该病毒进行了分析,发现该病毒很类似1099(Random-formatting)病毒.可以说是其一个变种,正因为如此,一些清毒软件将其误认为1099病毒,产生误动作,将染毒文件弄得无法恢复.所以有必要对该病毒代码的执行过程介绍一下,希望能对大家有所帮助.传染机理:该病毒长度基数为443H(1091)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6EH节(1760字节),然后驻留内存,地址从CS:0100开始.0054:0000开始的一段内     

一种新的DOS病毒——新世纪病毒

最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件     

基于信息隐藏技术的PE病毒防治

提出一种基于信息隐藏技术的方法来防范和对付PE病毒.该方法利用PE文件结构和PE病毒只侵袭可执行文件而不攻击数据文件的特性,将可执行文件头隐藏于数据文件之中,达到保护可执行文件的目的.实验验证了该方法的可行性.分析了该方法的长处和不足,与其它防病毒方法相比,该方法具有很好的信息隐藏量,能防范已知的可执行文件类计算机病毒,也能防范未知的和未来的该类计算机病毒.     

一种变长病毒的分析与清除

最近,在本单位的微机上发现一种不知名的病毒,用K72,CPAV均无法检测出来.笔者对其进行了深入分析,成功地清除了该病毒,在此介绍给同行,以便发现时能及时清除.一、变长病毒的标志当发现文件的长度无故增长,并且,如果COM文件的前五个字节为B8 XX XX FFEO;EXE文件的第3,4字节(文件映像长度)为FF FF及第17,18字节(SP寄存器应具有的值)为C1 05,则可判定文件感染了此种病毒.     

一种新病毒的清除方法

最近在笔者单位的计算机中发现了一种新的病毒,病毒不能被KILL70.01、SCAN108、CPAV1.4所发现和清除.病毒只感染.COM文件,感染病毒的文件长度增加1024(1K)字节.当计算机有病毒时,用DIR命令,在遇到.COM文件时计算机的显示速度明显下降、并有写盘现象.这种病毒是文件型(外壳型)病毒,由于病毒修改了INT21中断,所以感染起采非常迅速.在内存中有病毒的情况下,只要打DIR命令就能将当前目录下所有.COM文件感染上病毒.不过此时用DIR命令不能发现.COM文件的长度和日期有变化,用PCTOOLS工具可看到文件的长度多了1024字节.     

1349病毒分析

近日发现一种新病毒,用公安部KILL77和McAFee的SCAN117等查毒软件不能发现该病毒,于是对该病毒进行了分析,弄清了病毒程序的执行过程.一、传染机理该病毒长度基数为545H(1349)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6AH节(1696字节),然后驻留内存,地址从CS:0100开始.CS:0000——CS:00FF为病毒运行的数据区.用PCTOOLS看内存容量时,内存总量减少2KB.病毒驻留内存后更改INT21H(DOS功能调用)为XXXX:0287H,更改INT 1CH(时钟中断)为     

13XX病毒的清除

最近,笔者发现一种新型计变机病毒,该病毒成功地逃避了SCAN108、CPAV2.0、KILL70的合围.该病毒只传染EXE文件,目染毒文件长度增加1366字节到1382字节不等.(据此命名)它只是在DIR时传染.病毒特征为文件前2条指令是:     

1741病毒的分析与清除

最近,在我室微机上发现一种新病毒,用KILL、SCAN、CPAV等杀毒软件均不能清除该病毒,笔者通过对该病毒的分析,弄清了该病毒的原理,并用汇编语言编制了杀毒软件K1741.ASM(本期程序盘中)。 一、检测 当计算机内存中存在该病毒时,表现出列目录时间变长,读写盘时间变长,运行一些大型程序时提示内存不够或干脆死机。用PCTOOLS察看文件,发现文件长度增加1741～1757字节不等,用DEBUG或PCTOOLS察看文件倒数第5、6字节为7859H时,则可确定已感染了该毒。