“新世纪”病毒的清除

本文给出了清除病毒的方法和一个完整的清除病毒程序。     

“848”病毒的检测与清除

“848”是流行于PC机上的一种计算机病毒,它专门感染包括COMMAND.COM在内的COM型文件,被感染的文件长度增加848个字节,故称为“848”病毒.当带有848病毒的文件运行时,程序首先跳转到病毒体部分,执行DOS功能调用INT21的BB功能,这是病毒程序自加的功能、通过判断AX里的返回值是否等于1111h.来确定系统是否感染病毒.如果AX里的内容不是这个值,则病毒便认为系统中没有受到感染,于是就启动感染过程.     

13XX病毒的清除

最近,笔者发现一种新型计变机病毒,该病毒成功地逃避了SCAN108、CPAV2.0、KILL70的合围.该病毒只传染EXE文件,目染毒文件长度增加1366字节到1382字节不等.(据此命名)它只是在DIR时传染.病毒特征为文件前2条指令是:     

清除1099病毒及其变形的方法

“1099”病毒是近年来流行的一种文件型病毒。激发时，将会随机性地改写硬盘，故有的资料称之为“随机格式化病毒”，被改写的硬盘中，文件数据全部丢失，所以是一种“恶性病毒”。1099病毒的感染能力很强，在运行了一个染毒文件后，它就驻留内存，然后在DIR命令下，每列一次目录时，就感染当前目录下的一个可执行文件，先感染．EXE文件，再感染．COM文件。一旦COMMAND．COM文件被感染，则每次开机后它就驻留内存，伺机继续感染其它的可执行文件。研究此病毒可以用如下方法：先把一个无毒的．EXE文件或者．COM文件以．CMP文件复…     

1786病毒的分析与清除

朋友送来一含病毒的程序,称用SCAN116,CPAV2.0,KILL70.01,CLEAR0.9均查不出任何结果,但是CLEAR发出警告说内存已经被未知病毒感染.经过仔细研究,发现该病毒有两个特点:1、运用了一种较为先进的后跟踪手段一逆指令法,简单地说,就是将指令的执行方向由从前向后改为从后向前,利用INT01单步中断的特性,每执行一条指令后,进入单步中断处理程序,将病毒的后续指令移至CS:IP所指向的地址,然后中断返回.直至所有的逆指令均已运行完毕.     

Greeting病毒分析及清除

文中描述了一种新发现的文件外壳型病毒，并结合此类病毒共有的特点对其进行了详细的分析，最后给出了检测及清除的方法。     

1099病毒的检测及清除

1099病毒是一种文件型病毒,攻击扩展名为EXE和COM的可执行DOS文件。该病毒代码长度为1099字节,故称其为“1099病毒”。1 1099病毒感染文件的特点及危害性 该病毒不感染长度低于2KB的文件。病毒代码附着在被感染文件尾部,文件长度增量为1099B 1～16B。原因是该病毒总是将自身复制到原文件末尾之后的第一个节地址(即能被16整除的磁盘地址)处,而在病毒体首字节与原文件末尾之间任意填充内容,导致文件长度增     

1741病毒的分析与清除

最近,在我室微机上发现一种新病毒,用KILL、SCAN、CPAV等杀毒软件均不能清除该病毒,笔者通过对该病毒的分析,弄清了该病毒的原理,并用汇编语言编制了杀毒软件K1741.ASM(本期程序盘中)。 一、检测 当计算机内存中存在该病毒时,表现出列目录时间变长,读写盘时间变长,运行一些大型程序时提示内存不够或干脆死机。用PCTOOLS察看文件,发现文件长度增加1741～1757字节不等,用DEBUG或PCTOOLS察看文件倒数第5、6字节为7859H时,则可确定已感染了该毒。     

3072病毒的分析与清除

1、简述笔者遇到一种复合病毒,类似米氏病毒,既可传染硬盘主引导程序,又可传染可执行文件(.COM,EXE),只是因为对.COM文件,其长度增加3072字节(C00H),对.EXE文件,其长度增加3072-3090字节,故暂名为3072病毒,用SCAN V117和KILL V77均不能杀死.该病毒不传染软盘BOOT区,但传染性较强.加载运行及内存有毒的情况下进行目录搜索,均可实施传染.2、表现方法(1)键盘随机锁定,或字母为大小互变,上下档互交.PUSH DSXOR AX,AXMOV DS,AXMOV WORD PTR[0417],0091POP DS     

Hymn病毒的检测和清除

笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码:     

1741病毒的自动清除程序

给出一个完善的清除病毒程序，可自动检索全磁盘的运行文件，摘除文件上的病毒，完全恢复原来的正确程序。     

1099病毒的分析与清除

近来流行一种新的病毒,常用检测软件对它不能发现和清除.由于其代码长1099字节(44bh),故称之为1099病毒.一、病毒特点1099病毒是一种恶性病毒,它发作时对硬盘进行格式化,使大量的数据丢失,应该引起人们的注意.病毒采取了较强的反跟踪措施,这给分析带来了困难.它首先用指令in al,21hor al,1ahout 21h,al来屏蔽对键盘的响应,然后将指令进行动态恢复,执行以后再将恢复出来的代码、数据清零,因此,同一时刻不能得到全部的反汇编代码.另外,病毒执行过程中用了大量的栈操作及灵活的跳转方式,静态分析不易看清其真面目.     

Dabi病毒的分析与清除

本刊94年第8期曾刊出了《警惕!尚未达到发作条件的“东方红”病毒》一文.但并未登出清病毒程序.艾立武先生通过对病毒代码的分析,弄清了该病毒的原理,并编制了清毒程序KDABI.ASM,把该程序编译、链接转换为COM文件后使用,使用时先进入要清毒的目录下.然键入“KDABI文件名(回车)”即可,文件名可以含有通配符(＊和?),可以一次清除多个文件.该程序在LC486微机上调试通过,使用起来效果良好.     

713病毒的分析与清除

近来,本校流行一种新的病毒,用cpav、scan、kill(各种版本)、duchv、ve多种消毒软件均不能正确检测与消除.这种病毒具有系统引导型病毒和外壳型病毒的特点,不但感染硬盘主引导,而且感染EXE文件及COM文件.由于此病毒发作时间为7月13日,因此暂且把命它名为713病毒.下面先对其进行分析,再给出消除方法.一、病毒的引入机制1.可执行文件中病毒的引入     

CIH病毒的分析与清除

CIH是第一例感染Windows95/98环境下PE格式EXE文件的病毒,病毒发作时直接攻击和破坏计算机硬件系统。剖析CIH病毒机理,掌握在Windows平台下病毒驻留和传染方法,对于预防、检测和清除CIH病毒,乃至预防未来新型Windows病毒都具有十分重要的意义。目前CIH病毒有多个版本,本文将着重对CIHv1.2版本进行剖析。     

USTC病毒的检测与清除

最近,笔者发现了一种新病毒,广泛流行于PC机上,用目前的Kill、Scan及最新的Cpav 2.1均不能测出.该病毒长度为919个字节,由于尾部有“USTC’四个字符,所以笔者紧其取名为“USTC”病毒.USTC病毒是一种文件型病毒,它只感染.EXE文件,由于病毒在感染.EXE文件的,仅仅修改了.EXE文件的文件头中保存的该.EXE文件载入内存执行定位时SP的值,没有修改IP的值,所以受感染的文件一般增长919至934个字节.该病毒修改了DOS功能调用INT 21H,其病毒INT 21H的入口在XXXX:0156处.在带有USTC病毒的内存中断向量表0000:0084处,可看到此病毒入口地址.当带有USTC病毒的文件运行时,程序首先执行病毒体部分,病毒直接读出中断向量表0000:0188处(INT62H的中断向量地址)的值,通过判断该值是否为55AAH来确定采统是否已感染病毒.如果不是55AAH,病毒便认为系统没有受到感染,于是就启动感染模块.