一种新病毒的清除方法

最近在笔者单位的计算机中发现了一种新的病毒,病毒不能被KILL70.01、SCAN108、CPAV1.4所发现和清除.病毒只感染.COM文件,感染病毒的文件长度增加1024(1K)字节.当计算机有病毒时,用DIR命令,在遇到.COM文件时计算机的显示速度明显下降、并有写盘现象.这种病毒是文件型(外壳型)病毒,由于病毒修改了INT21中断,所以感染起采非常迅速.在内存中有病毒的情况下,只要打DIR命令就能将当前目录下所有.COM文件感染上病毒.不过此时用DIR命令不能发现.COM文件的长度和日期有变化,用PCTOOLS工具可看到文件的长度多了1024字节.     

1349病毒分析

近日发现一种新病毒,用公安部KILL77和McAFee的SCAN117等查毒软件不能发现该病毒,于是对该病毒进行了分析,弄清了病毒程序的执行过程.一、传染机理该病毒长度基数为545H(1349)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6AH节(1696字节),然后驻留内存,地址从CS:0100开始.CS:0000——CS:00FF为病毒运行的数据区.用PCTOOLS看内存容量时,内存总量减少2KB.病毒驻留内存后更改INT21H(DOS功能调用)为XXXX:0287H,更改INT 1CH(时钟中断)为     

Hymn病毒的检测和清除

笔者最近在一台486微机上发现名为Hymn的病毒.此病毒是一种典型的文件型病毒,它传染特定的COM、EXE文件,染毒文件长度增加930字节.用现有的KV系列、KILL系列及SCAN等清毒软件均无法查出,用DUCKV(1.34版)能查出该病毒名,却无法清除.为此,对该病毒进行分析,找到了检测和清除的方法.一、病毒引导代码用debug把染毒文件调入内存,有如下引导代码:     

病毒BUPT 9146

最近,笔者在微机上发现一种新病毒,因其表现时屏幕显示“Hello,Welcome to BUPT 9146,Beijing!”故将其命令名为BUPT9146病毒.用KILL68及MS-DOS6的MSAV均查不出此病毒.经过跟踪分析,笔者掌握了病毒的运行机制及待点,在此介绍给大家,以便及时发现和清除.一、特征.①病毒属良性文件型病毒,被感染COM文件长度增加1367字节,EXE文件增加1364-1379字节,COMMAND.COM文件受病毒保护不被感染.②被感染文件尾部四字节为病毒的标志字节“C6 CECB C9”.③用工具软件可在被感染文件中搜索到字串“Onlyfor experiment.BUPT”.     

GENE病毒的一个变种

笔者最近发现一种病毒,与《电脑》杂志95年第1期中介绍的GENE病毒极其相似,故判断该病毒为GENE病毒的一个变种.该病毒的长度为1569字节,笔者依此将其称为GENE/1569病毒.一、病毒的基本特征GENE/1569病毒属文件型病毒,只感染非只读属性的EXE文件,被感染文件长度增长1569-1585字节,日期和时间均不改变,文件末尾两字节为AAAAH,这是病毒用来判断文件是否已被感染的标志,在被感染文件中还有一未加密的字符串“Gene-1991-in DUP(Dalian Chi-na)”.根据这几项特征,可以判断一个EXE文件是否已被感染.     

13XX病毒的清除

最近,笔者发现一种新型计变机病毒,该病毒成功地逃避了SCAN108、CPAV2.0、KILL70的合围.该病毒只传染EXE文件,目染毒文件长度增加1366字节到1382字节不等.(据此命名)它只是在DIR时传染.病毒特征为文件前2条指令是:     

警惕!4月17日和8月17日的cqZGB病毒

最近,笔者碰到一种新病毒,用最新的SCAN、KILL等消毒程序均不能发现该病毒,但它却有较大的危害性和隐蔽性。现在将对它的分析和消除方法介绍给大家,以便及时准备,使其危害性降低到最小程度。由于该病毒感染文件后文件长度增加2128个字节,所以我们称之为“2128病毒”。 首先,该病毒是一种文件型病毒,可以感染.exe和.com文件。被感染文件的长度要大于6144个字节(即1800H),以增加病毒的隐蔽性;对于.com文件还要求文件长度小于63488字节(即F800H),以免感染病毒后文件长度超过64k。感染病毒后文件长度一般增加2128个字节,病毒体挂在被感染     

1741病毒的分析与清除

最近,在我室微机上发现一种新病毒,用KILL、SCAN、CPAV等杀毒软件均不能清除该病毒,笔者通过对该病毒的分析,弄清了该病毒的原理,并用汇编语言编制了杀毒软件K1741.ASM(本期程序盘中)。 一、检测 当计算机内存中存在该病毒时,表现出列目录时间变长,读写盘时间变长,运行一些大型程序时提示内存不够或干脆死机。用PCTOOLS察看文件,发现文件长度增加1741～1757字节不等,用DEBUG或PCTOOLS察看文件倒数第5、6字节为7859H时,则可确定已感染了该毒。     

934病毒的检测与消除

(1)病毒发作特征:运行934病毒感染的文件时,系统进入图形状态,驻留内存;PCTOOLS及MEM.EXE不能发现内存减少。 (2)病毒感染特征:只感染COM文件,感染文件长度增加3A6H(934)字节。 (3)病毒感染过程:将3A6H(934)字节长的病毒代码附在COM文件尾,将原COM文件开头4字节移到病毒代码偏移OBH处,即带毒文件长度减29BH偏移处;COM文件开头置跳     

DEMOCRACY病毒分析

笔者用公安部KILL70查毒软件检查一张软盘时,发现有几个文件含有DEMOCRACY病毒,杀毒后文件不能运行,于是对病毒进行了分析,基本弄清了病毒原理,现介绍如下.传染机理该病毒有效长度为OEB7H(3767)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,利用DOS中断调用的48H号功能,申请一块大小为FOH节(3840字节)的内存,然后驻留内存,用PCTOOLS看内存容量时,内存总量并不减少,但可用内存减少3840+16字节.     

神秘的3783病毒

最近,笔者发现了一种新的病毒,用目前常用的KV300、VRVNT、KILL等杀毒软件均不能发现和清除,因其感染EXE和COM文件时,使文件长度增长3783字节,故取名为3783病毒.它是一种两栖型(又称混合型)病毒,它既是系统型病毒,感染硬盘主引导扇区(即0道0头1扇区)和软盘的逻辑0扇区,又是文件型病毒,专门感染EXE文件和COM文件.3783病毒的神秘之处在于以下几点:其一,3783病毒感染硬盘和软盘时,病毒的首语句是JMP 013E(EB 3C),特别是软盘的逻辑0扇区,DOS 5.0以上版本的引导程序的首语     

930／3A2病毒的检测和清除

笔者在单位的微机上发现一种新病毒,这种病毒只感染可执行文件(.COM和.EXE),用当前的CPAV、MSAV和SCAN均不能发现该病毒,唯有“超级巡警”KV200能够发现,但不能清除它.该病毒代码长为898个字节,对可执行文件传染后,文件字节增加930个字节,故称之为930/3A2病毒.     

1099病毒的检测及清除

1099病毒是一种文件型病毒,攻击扩展名为EXE和COM的可执行DOS文件。该病毒代码长度为1099字节,故称其为“1099病毒”。1 1099病毒感染文件的特点及危害性 该病毒不感染长度低于2KB的文件。病毒代码附着在被感染文件尾部,文件长度增量为1099B 1～16B。原因是该病毒总是将自身复制到原文件末尾之后的第一个节地址(即能被16整除的磁盘地址)处,而在病毒体首字节与原文件末尾之间任意填充内容,导致文件长度增     

1465病毒的剖析

最近发现了一种新病毒,这种病毒只感染exe和com文件,传染后仍可正常运行,该病毒只传染一次,使文件长度增加了1465个字节,故命名为1465病毒(以下简称病毒)。对已感染的文件没有固定的标志,在内存有毒时,文件长度并无变化,从而来欺骗用户。病毒的部分关键代码和被感染的原文件头的部     

3783病毒及解毒程序K3783.COM

3783病毒是一种新型病毒,用KV300(B)版等杀病毒软件均不能清除该病毒。本病毒不仅感染DOS下的绝大部分文件,也感染WINDOWS下的大部分文件,而且还感染磁盘引导扇区,严重地影响了计算机的正常工作。 被感染文件的长度增加了3783个字节,只有用无毒的系统盘启动计算机才能看出文件长度的变化。被该病毒感染的计算机,对软盘不能进行正常操作。     

INOC病毒的解密与消除

本系近来遇到一种新病毒,其现象是感染“.EXE”文件和长度不大于2048字节的“.COM”文件(但不感染COMMAND.COM),感染后长度增加1787～1833字节。用美国的CPAV1.4和MCAFEESCAN113等均无法检测出来;用冰岛大学推出的F-PROT软件可以检测出文件感染了名为“INOC”的病毒,但无法清除,只能把被感染文件改名(“.COM”改为“.VOM”;“.EXE”改为“.VXE”)。运行了带毒程序后,用MEM或MI命令可以看到病毒已用该程序的名字驻留内存,占用2288字节,并截取了INT 2F中断。此外该病毒还有一个特殊现象;若是被感染的文件名为SCAN.EXE,那么运行该文件时屏幕上将会显示出如下一段信息:     

1091病毒分析

该病毒用公安部的KILL 70.01和 McAFee的SCAN117等查毒软件均不能发现,对该病毒进行了分析,发现该病毒很类似1099(Random-formatting)病毒.可以说是其一个变种,正因为如此,一些清毒软件将其误认为1099病毒,产生误动作,将染毒文件弄得无法恢复.所以有必要对该病毒代码的执行过程介绍一下,希望能对大家有所帮助.传染机理:该病毒长度基数为443H(1091)字节,感染文件时附在文件尾部.它先于正常程序进入内存后,修改最后一个内存控制块MCB,使其减少6EH节(1760字节),然后驻留内存,地址从CS:0100开始.0054:0000开始的一段内     

帝霸计算机反病毒服务网专用软件升级信息表

基本描述库类别: O攻击对象: 2第(1)基址描述 4/2f吣:8f2f FF’Qo病毒名称:病毒长度:KKN2020第(1)特征描述 l/196/2E.C6.6.62.2.FF.E8.90.2.2E.80.3E.F.1.6D基本描述库类别: 0攻击对象: 2病毒名称:病毒长度:AAV0第(1)特征描述 0/196/2E.C6.6.62.2.FF.E8.90.2.2E.80.3E.F.1.6D 病毒分析: 该病毒发现于北京地区。它被命名为AAV。这是一种文件型病毒,只传染CoM型文件。该病毒活动时驻留在内存低端,它截获D()S中断INT 21H以获取系统控制权。当系统时间大于等于1994。年5月,在每个小时的30分45秒之后,病毒开始发作。屏幕上将显示…     

1091病毒的检测与删除

最近,我们单位出现一种新病毒,用CPAV和SCAN都不能发现它,我对它进行了分析,成功的杀灭了该病毒.因该病毒长度为443H字节,故称其为1091病毒.病毒修改COM文件头的11字节为远跳转指令,使病毒代码首先得到执行,并把原文件头的11字节存入病毒偏移11FH处,对EXE文件,则修改文件头的SS,SP,CS,IP使其指向病毒体,并把原文件头的11字节存入病毒偏移11FH处.病毒代码一运行,首先检测内存有没有驻留该病毒,如没有则把DOS可用内存减少2K字节,并把自身驻留于内存高端,同时修改24H,21H号中断,使其指向病毒内部代码.因此每当运行DIR命令时,病毒开始传播.     

一种新病毒的简单解剖

1996年,在广西南宁出现了一种新的文件型病毒。该病毒隐蔽性强,破坏力大,而且目前常用的各种杀毒软件(包括kv200,kill,f—prot,scan,cpav等)均无法有效对付此病毒。笔者对此病毒进行了研究,现对它有了一些认识,并找到了杀毒的方法。在这里仅对该病毒进行一些简单的解剖。 1.暂时命该病毒为LUCK OVER病毒。因其长度为0c70h(十进制3184)个字节且发作时的屏幕显示和story(3184)病毒相似,故怀疑为story病毒的变种。 2.此文件型病毒攻击.exe和.com文件,且只传染一次。对于.com文件,只攻击长度在3e8h和f000h之间的文件。除此之外,还可把chklist.ms和smartchk.cps文件的长度抹为0字节。该病毒传染文