一种新的DOS病毒——新世纪病毒

最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件     

当心Word宏病毒

哎,这终于发生了。在13年没有病毒的个人计算之后,我第一次带着计算机病毒运行。按传统观点,PC的病毒不外两种类别:一类是.EXE病毒,它在一个被感染的.EXE文件执行的时候传播;另一类是引导扇区/分区表病毒,当计算机用被感染的盘启动驱动器时传播。我一直在运行.EXE文件时注意检查,并避免遗留软盘在启动驱动器里——尤其是我自己没有格式化的软盘。但是病毒终于找上门了,从一个意外的来源:一个Word for Windows的.DOC文件。     

3783病毒及解毒程序K3783.COM

3783病毒是一种新型病毒,用KV300(B)版等杀病毒软件均不能清除该病毒。本病毒不仅感染DOS下的绝大部分文件,也感染WINDOWS下的大部分文件,而且还感染磁盘引导扇区,严重地影响了计算机的正常工作。 被感染文件的长度增加了3783个字节,只有用无毒的系统盘启动计算机才能看出文件长度的变化。被该病毒感染的计算机,对软盘不能进行正常操作。     

清除1099病毒及其变形的方法

“1099”病毒是近年来流行的一种文件型病毒。激发时，将会随机性地改写硬盘，故有的资料称之为“随机格式化病毒”，被改写的硬盘中，文件数据全部丢失，所以是一种“恶性病毒”。1099病毒的感染能力很强，在运行了一个染毒文件后，它就驻留内存，然后在DIR命令下，每列一次目录时，就感染当前目录下的一个可执行文件，先感染．EXE文件，再感染．COM文件。一旦COMMAND．COM文件被感染，则每次开机后它就驻留内存，伺机继续感染其它的可执行文件。研究此病毒可以用如下方法：先把一个无毒的．EXE文件或者．COM文件以．CMP文件复…     

硬盘主引导扇区的保存和恢复

<正>计算机硬盘的主引导扇区处在硬盘的0头0道1扇区,共512字节.它记录了有关操作系统在系统生成以及对硬盘管理时所必须的信息.然而不幸的是,它却往往是主引导扇区型计算机病毒攻击的对象和隐蔽的地方.若主引导扇区遭到破坏,就无法对硬盘进行操作.如果遇到这种情况时应该怎么办?下面我为大家介绍一种方法.对不同类型的硬盘,安装不同的操作系统,其主引导扇区的内容是不完全一样的,每一个硬盘,其正确的主引导扇区的内容用文件的形式保存在软盘上,在其主引导区遭到破坏时,把它写回硬盘的0头0柱1扇区,问题就可以解决了.     

713病毒的分析与清除

近来,本校流行一种新的病毒,用cpav、scan、kill(各种版本)、duchv、ve多种消毒软件均不能正确检测与消除.这种病毒具有系统引导型病毒和外壳型病毒的特点,不但感染硬盘主引导,而且感染EXE文件及COM文件.由于此病毒发作时间为7月13日,因此暂且把命它名为713病毒.下面先对其进行分析,再给出消除方法.一、病毒的引入机制1.可执行文件中病毒的引入     

用批命令文件修复硬盘主引导扇区

微机硬盘的主引导扇区,存有硬盘主引导记录和分区表等重要数据,历来是引导型病毒攻击的目标.人们常用DEBUG编—汇编语言程序,利用INT13H的02H功能将硬盘主引导扇区的内容读出,在硬盘以文件形式或存放在软盘上作为备份.若硬盘主引导扇区被病毒感染,再用DEBUG编—汇编语言程序,利用INT 13H的03H功能将备份写入硬盘主引导扇区.在读、写盘过程中,两个汇编语言程序内容变化很小,均用DEBUG编写颇为麻烦,不如用批命令文件编写这两个汇编语言程序更为方便.     

FLIP病毒的变种——FLIP-2153B

最近,我们发现了兼有文件引导型和系统引导型病毒特点的FLIP病毒的变种FLIP-2153B。其特点是:在带毒文件中,距文件尾部48H处的病毒特征字节是0EB9,在被感染硬盘的主引导扇区,距首部第28字节处的病毒特征字节是5959。病毒从已被感染的可执行文件进入系统时,硬盘立即被感染,但是系统内存不减少;从系统引导过程中进入系统时,系统内存则减少3KB的空间。国家安全局编制的病毒检测软件ScAN 3.1版和查毒软件CPAV能发现位于硬盘主引导扇区的病毒,却不能发现被感染文件中的病毒。病毒编制者修改了病毒的特征字节和部分病毒程序主要是为了逃避查毒软件的检测。     

和病毒不能开这个小小的玩笑

《电脑》杂志94年第9期《和病毒开个小小的玩笑》一文中指出,病毒根据其破坏的性质和特点,可以分为几个种类,但无论那种类型的病毒都只感染扩展名为.COM和.EXE的文件.这种说法大绝对了,以病毒的引导方式划分.病毒可分为文件型、引导型和复合型三种,且不说引导型和复合型病毒,对文件型病毒来说,也不是只感染.COM和.EXE文件,对于别的扩展名文件也感染,例如覆盖文件.OVL等.     

对硬盘加锁的一种方法

本文介绍一种对硬盘加锁的方法。该方法主要是通过改写和恢复硬盘的主引导扇区来达到对硬盘加锁和解锁。把硬盘主引导写到硬盘的一个隐含扇区上,然后把硬盘某一扇区内容覆盖主引导扇区。当用户使用硬盘时,必须先用软盘启动,执行有通行字的解锁程序,把原来主引导扇区内容复回主引导扇区。使用户可以进入硬盘,当系统再次启动时,由改写过的COMMAND.COM文件再次对硬盘进行加锁。     

一种既不增加文件长度又不破坏主引导区的两栖型病毒—451病毒

最近,笔者发现了一种既不增加文件长度,又不破坏硬盘主引导区的两栖型病毒,由于病毒主体长451字节,故取名为451病毒.用KV200来查感染上451病毒的硬盘,KV200只报告在DOS引导区发现病毒,具体病毒的名字叫不出来,而对硬盘中感染上451病毒的文件,KV200则毫无察觉.用SCAN111及SCAN117来清查感染上451病毒的硬盘,报告结果是硬盘DOS引导区有GENB病毒和一些EXE文件有BFD病毒,但这些版本相应的CLEAN,却报告感染上BFD病毒的EXE文件不能安全地清除病毒,只能删除带毒的文件,因此笔者认为SCAN软件作为     

软件交流

软件91-0495:设置口今字软件PASSWORD 该软件可以为.COM文件和.EXE文件设置口令。口令字的保密程度高,被破解的可能性小。软件91-0496:引导区类病毒防止软件DISKP 本软件可对软盘和硬盘进行防病毒处理。处理后的盘被感染后,启动时可自动清除病毒。用处理后的盘引导系统后,系统不会带有病毒,不会感染其他磁盘。     

计算机病毒(2)

计算机病毒可按照其感染系统的方式进行分类: 文件感染病毒:文件感染病毒将病毒代码加到可运行的程序文件中,因此这种病毒在运行程序时即被激活。当这种病毒被激活时,它就传播给其它程序文件。 引导扇区病毒:引导扇区是硬盘的一部分,当开机时它便控制操作系统如何动作。引导扇区病毒用它自己的数据来代替硬盘的原始引导扇区,并将病毒装入内存,病毒一旦进入内存,就可以传播给其它磁盘。     

移花接木有术——巧用“病毒”修复磁盘

笔者在用软件工具检修硬盘时,不慎将硬盘C的逻辑0扇区(引导扇区)拷入A磁盘的0扇区中,结果造成A驱动器中的磁盘(当时为360KB盘片)不能读写。而该磁盘中的文件都是些重要的文件,有些文件根本没有备份。不能对该盘片读写,也就意味着这些文件的丢失。 造成不能对该盘片进行读写的原因是由于该盘原来的软磁盘I/O参数表及磁盘基数表被破坏,其引导扇区的内容已变成硬盘引导扇区的内容,软盘I/O参数表及磁盘基数表当然也相应变成了硬     

1425病毒

笔者最近发现了一种新病毒,用目前的KILL软件及SCAN软件均不能测出,因受感染的EXE文件或COM文件,增长约1425字节,故笔者称之为1425病毒.1425病毒是一种文件型病毒,它更改了功能调用中断INT 21H.其病毒INT 21H的入口在XXXX:0287.在带有1425病毒的内存中断向量表0000:0084处可看到这个病毒的入口地址.     

对2048LH病毒的消除

《电脑》1994年第11期曾介绍一种2048病毒,该病毒只感染EXE文件,而不感染COM文件.本人最近发现一种病毒,用Cpav、kill62软件不能发现和消除,被感染病毒的文件大小增大2048字节左右,为区别起见,暂称该病毒为2048LH病毒,该病毒属于文件型病毒,专门感染COM和EXE文件,但不感染command.com文件,当该病毒驻留内存后,用Pc-tools或Chkdsk检测,可发现内存减少2K.     

“格式化”病毒的检测和消除

最近,在本校的机房中出现了一种以前未见过的病毒,这种病毒的传染性和破坏性都较强,如果达到一定的条件,它会对硬盘实施格式化,所以笔者称之为″格式化″病毒。这种病毒的出现已经给我校微机房带来了不小的破坏。笔者通过对此病毒的深入分析,采取了一些有效的措施,控制了它的传播和破坏。 一、病毒的特征,传播和引导 1.特征:该病毒用KV200检查时,提示在硬盘主引导区中有病毒但并未给出明确的名称,可见是一种不常见的病毒。这种病毒占据硬盘的主引导扇区0头0柱面1扇区,或软盘的DOS引导扇区,而把原软盘的DOS引导扇区放在1面79道18扇区中。它的主要标志是距病毒程序首部03AH中的字节DC,而病毒     

噪声病毒的检测与清除

一、概 述 最近作者所在单位机房运行MS DOS操作系统的PC系统上感染并流行一种新的操作系统型病毒,该病毒在硬盘上占据硬盘的0面0柱1扇区,即硬盘分区表所存放的扇区,在软盘上则占据软盘的0面0道1扇区。根据笔者对该未知的操作系统型病毒的分析,发现它是CMOS病毒的变种。由于在病毒程序中有字符串“I am Li Xibin！”,故可知它是国内某人修改CMOS病毒后形成的新病毒。笔者使用的微机不慎感染上病毒,并很快传染所有未加写保护的软盘。因没有可清除该病毒的软件,笔者对病毒程序进行了剖析,现给出检测与清除该病毒的办法并公之于众。由于该病毒在发作     

3072病毒的分析与清除

1、简述笔者遇到一种复合病毒,类似米氏病毒,既可传染硬盘主引导程序,又可传染可执行文件(.COM,EXE),只是因为对.COM文件,其长度增加3072字节(C00H),对.EXE文件,其长度增加3072-3090字节,故暂名为3072病毒,用SCAN V117和KILL V77均不能杀死.该病毒不传染软盘BOOT区,但传染性较强.加载运行及内存有毒的情况下进行目录搜索,均可实施传染.2、表现方法(1)键盘随机锁定,或字母为大小互变,上下档互交.PUSH DSXOR AX,AXMOV DS,AXMOV WORD PTR[0417],0091POP DS     

DIRⅡ病毒的检测和清除

DIRⅠ病毒驻留在磁盘的最后一个可用簇,驻留长度为1024字节,并在磁盘文件分配表FAT中将该簇标为FEFF(软盘有所不同)。该病毒首先感染COMMAND.COM文件,此时一旦执行DOS的DIR命令,病毒即进入内存,从而感染当前目录中的可执行文件(.EXE和.COM文