INOC病毒的解密与消除

本系近来遇到一种新病毒,其现象是感染“.EXE”文件和长度不大于2048字节的“.COM”文件(但不感染COMMAND.COM),感染后长度增加1787～1833字节。用美国的CPAV1.4和MCAFEESCAN113等均无法检测出来;用冰岛大学推出的F-PROT软件可以检测出文件感染了名为“INOC”的病毒,但无法清除,只能把被感染文件改名(“.COM”改为“.VOM”;“.EXE”改为“.VXE”)。运行了带毒程序后,用MEM或MI命令可以看到病毒已用该程序的名字驻留内存,占用2288字节,并截取了INT 2F中断。此外该病毒还有一个特殊现象;若是被感染的文件名为SCAN.EXE,那么运行该文件时屏幕上将会显示出如下一段信息:     

934病毒的检测与消除

(1)病毒发作特征:运行934病毒感染的文件时,系统进入图形状态,驻留内存;PCTOOLS及MEM.EXE不能发现内存减少。 (2)病毒感染特征:只感染COM文件,感染文件长度增加3A6H(934)字节。 (3)病毒感染过程:将3A6H(934)字节长的病毒代码附在COM文件尾,将原COM文件开头4字节移到病毒代码偏移OBH处,即带毒文件长度减29BH偏移处;COM文件开头置跳     

神秘的3783病毒

最近,笔者发现了一种新的病毒,用目前常用的KV300、VRVNT、KILL等杀毒软件均不能发现和清除,因其感染EXE和COM文件时,使文件长度增长3783字节,故取名为3783病毒.它是一种两栖型(又称混合型)病毒,它既是系统型病毒,感染硬盘主引导扇区(即0道0头1扇区)和软盘的逻辑0扇区,又是文件型病毒,专门感染EXE文件和COM文件.3783病毒的神秘之处在于以下几点:其一,3783病毒感染硬盘和软盘时,病毒的首语句是JMP 013E(EB 3C),特别是软盘的逻辑0扇区,DOS 5.0以上版本的引导程序的首语     

一种新型计算机病毒的分析和诊治

笔者最近发现了一种新的良性计算机病毒，用现有的CPAV，SCAN等反病毒软件都不能诊治。感染该病毒的程序比原来增加了1465个字节，因而笔者称这种病毒为1465病毒。分析了核病毒的程序后，用C语言编制了诊治该病毒的程序。1465病毒附在COM和EXE文件的后部。运行有毒文件时，首先执行病毒部分。病毒先检查对号中断，如果对号中断已感染病毒，则执行文件的正常部分；如果对号中断未感染病毒，刚修改对号中断，使其附有1465病毒，并感染COMMAND．COM文件。在内存感染的情况下使用DIR命令，感染相应的COM和EXE文件，并显示文件原来…     

对2048LH病毒的消除

《电脑》1994年第11期曾介绍一种2048病毒,该病毒只感染EXE文件,而不感染COM文件.本人最近发现一种病毒,用Cpav、kill62软件不能发现和消除,被感染病毒的文件大小增大2048字节左右,为区别起见,暂称该病毒为2048LH病毒,该病毒属于文件型病毒,专门感染COM和EXE文件,但不感染command.com文件,当该病毒驻留内存后,用Pc-tools或Chkdsk检测,可发现内存减少2K.     

一种新的DOS病毒——新世纪病毒

最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件     

3072病毒的分析与清除

1、简述笔者遇到一种复合病毒,类似米氏病毒,既可传染硬盘主引导程序,又可传染可执行文件(.COM,EXE),只是因为对.COM文件,其长度增加3072字节(C00H),对.EXE文件,其长度增加3072-3090字节,故暂名为3072病毒,用SCAN V117和KILL V77均不能杀死.该病毒不传染软盘BOOT区,但传染性较强.加载运行及内存有毒的情况下进行目录搜索,均可实施传染.2、表现方法(1)键盘随机锁定,或字母为大小互变,上下档互交.PUSH DSXOR AX,AXMOV DS,AXMOV WORD PTR[0417],0091POP DS     

新1575病毒的清除与免疫

新1575病毒是一种文件型病毒,感染COM和EXE文件.它将病毒体附着在正常程序尾部,修改文件头部指令,使程序运行时先执行病毒部分.本文对照分析了染毒前后的程序,找到了清除病毒的方法,编写     

修改EXE文件的一种简便方法

EXE文件由于其构成的特殊性,使得对EXE文件的修改远不如象修改COM文件那么来得方便。笔者通过反复的实践,巧妙地解决了这个问题,从而使修改EXE如同修改COM文件一样简单。先简要谈谈EXE文件的构成。EXE文件是由LINK.EXE程序产生的,它由两部分组成:1、控制和定位信息;2.模块体(即真正的程序)本身。控制和定位信息在文件的头部称为文件头,模块体紧接其后。下面则通过一个例子来说明修改EXE文件的方法。假设要对文件zheng.exe进行修改(如修改zheng.exe中的某段程序或某些数据),首先,用copy zheng.exe zheng.dat命令将其改为非EXE文件,然后调用DEBUG.COM将zheng.exe文件的文件头写到head文件里:     

和病毒不能开这个小小的玩笑

《电脑》杂志94年第9期《和病毒开个小小的玩笑》一文中指出,病毒根据其破坏的性质和特点,可以分为几个种类,但无论那种类型的病毒都只感染扩展名为.COM和.EXE的文件.这种说法大绝对了,以病毒的引导方式划分.病毒可分为文件型、引导型和复合型三种,且不说引导型和复合型病毒,对文件型病毒来说,也不是只感染.COM和.EXE文件,对于别的扩展名文件也感染,例如覆盖文件.OVL等.     

2048病毒

最近广州出现了一种新病毒,用目前人们使用的KILL和SCAN软件,不能查出或清除该病毒.由于受该病毒感染的EXE文件都增长2048字节,故笔者称之为2048病毒.2048病毒是一种文件型病毒,但它只感染EXE文件,而不感染COM文件.2048病毒和许多病毒一样,在功能调用INT 21H和磁盘中断INT 13H上做文章.但2048病毒与众不同的地方在于它在设置病毒INT 21H和病毒INT13H时,并没有修改中断向量表中记录的INT 21H和INT 13H的入口地址,而是采用了移花接木的手法.     

清除1099病毒及其变形的方法

“1099”病毒是近年来流行的一种文件型病毒。激发时，将会随机性地改写硬盘，故有的资料称之为“随机格式化病毒”，被改写的硬盘中，文件数据全部丢失，所以是一种“恶性病毒”。1099病毒的感染能力很强，在运行了一个染毒文件后，它就驻留内存，然后在DIR命令下，每列一次目录时，就感染当前目录下的一个可执行文件，先感染．EXE文件，再感染．COM文件。一旦COMMAND．COM文件被感染，则每次开机后它就驻留内存，伺机继续感染其它的可执行文件。研究此病毒可以用如下方法：先把一个无毒的．EXE文件或者．COM文件以．CMP文件复…     

文件型病毒的清除

所谓文件型病毒是指寄生在正常可执行或动态链接库文件(如COM、EXE和DLL)中,通过运行被感染的文件而激活的一种病毒。虽然现在的电脑病毒越来越向着网络化蠕虫类发展,但仍然还有许多文件型的病毒横行。由于许多用户对查杀文件型病毒存在误解,因此这类病毒往往被认为很难清除,最     

1150／Burglar病毒的分析与清除

近几个月,笔者在上机时,机器常出现死机现象,检查文件发现EXE文件无故增长1150字节,确认感染病毒,但使用KILL76.02、KV200(J)和CPAV2.0均不能查解,经分析发现为新病毒,定名为1150/Burglar病毒。分析与消毒方法如下。 1.病毒特性 参见附表,该病毒为常驻内存的文件型病毒,感染EXE文件,修改原文件的文件头,病毒体追加在EXE文件的尾部。当染毒文件运行时,病毒首先使用DOS功能调用的扩展功能F0H来判断病毒是否已驻留内存,调用返回AX寄存器,如AX=0,则表明病毒已驻留内存,病毒恢复原EXE文件的IP、CS、SS,运行被感染文件,反之,则先驻留病毒自身,再恢复执行染毒文件。     

电脑病毒及其后遗症的治理

友人新购一台586型的多媒体家用电脑不幸感染病毒,主要表现在: (1)对★.COM、★.EXE,不论是复制,还是运行,其长度都会自动增加4000字节。 (2)多数软件的运行速度比以前减慢;有些程序完全不能运行;甚至还有个别程序,一运行就死锁,根本无法解脱,非得要你重新启动不可。 (3)运行硬盘上的杀毒软件时,对同一个文件,反复显示“发现病毒、杀死病毒……”的字样,导致系统陷入死循环状态。 许多问题同时发生,一个人孤掌难鸣,真有点招驾不住,于是邀我协助治理。     

程序加密DOS.COM与.EXE文件

在工作中,有时我们希望某些,COM或.EXE程序具有一定的运行权限,不至于任人使用.如是,我们就需要对.COM或     

给程序增加自我诊断功能

有时程序已经染上了病毒,但我们却没有查觉,带毒运行会造成很大的损失。怎样在程序一染上病毒就让用户发现呢? 我们知道,当一个程序被编译成.EXE或.COM文件后,其产生日期和文件大小便固定了,除非被病毒感染或人为修改。因此,在文件编制完成     

电脑病毒及其后遗症的治理

友人新购一台586型的多媒体家用电脑，不幸感染病毒，主要表现在：1）COM、。EXE文件，不论是复制，还是运行，其长度都会自动增加4O00字节。2）多数软件，运行速度比认前减慢；有些程序不能运行，甚至还有个别程序，一运行就死锁，根本无法解脱，非得要你重新启动不可。（3）运行硬盘上的杀毒软件时，对同一个文件，反复显示“发现病毒、杀死病毒……”的字样，导致系统陷入死循环状态。（－》首先检测系统内存是否感染病毒杀毒软件无法正常工作，多半是由于系统内存感染病毒所致。直接运行UCDOS6．0所配套的内存病毒检测程序CHKVI…     

按形成时间删除文件

有些软件运行后产生一批临时文件,文件名无规律,但都在一个时间段,用DOS的DEL命令一一删除很麻烦,有时也需要按时间删除一批文件,而DOS无此功能。本人用Turbo C2.0编写了一个程序(TDEL.C,附后),可删除指定时间、指定时间以前或指定时间以后的文件,文件名可带通配符。可用DOS的EXE2BIN命令将编译产生的TDEL.EXE转为TDEL.COM。本程序在IBMPC 286、LX386和COM-     

一种变长病毒的分析与清除

最近,在本单位的微机上发现一种不知名的病毒,用K72,CPAV均无法检测出来.笔者对其进行了深入分析,成功地清除了该病毒,在此介绍给同行,以便发现时能及时清除.一、变长病毒的标志当发现文件的长度无故增长,并且,如果COM文件的前五个字节为B8 XX XX FFEO;EXE文件的第3,4字节(文件映像长度)为FF FF及第17,18字节(SP寄存器应具有的值)为C1 05,则可判定文件感染了此种病毒.