92DIR2——硬卡无法防御的病毒

<正> 最近,我校很多微机都感染上了92DIR2这种新病毒。KILL,CPAV 等著名的解毒反毒软件都不能发现,当然更谈不上解毒了.病毒是这样被发现的,当拷贝可执行文件时,目标盘列目录发现可执行文件长度为1024或2048字节,而在源盘列目录时发现长度正常,这说明肯定有病毒在作怪,运行KILL 和CPAV 没有发现内存有病毒,用debug 程序察看各可执行文件内容,结果发现源盘、     

硬盘故障排除两例

故障1:笔者单位一台486微机开机不能直接进入系统,提示:This is half.press anykey to continue,敲任意键后才能进入系统,当运行Windows软件时,屏幕发生旋转。由此怀疑系统感染病毒,但用KILL、MSAV、CPAV和SCAN等软件均未查出病毒,后用KV200检查,报告有CHOST/ONE-HALF幽灵3544病毒,且内存被感染需用干净的系统盘启动。用无毒软盘启动后再用KV200清毒时,仍报告内存有病毒。由此可知KV200本身被病毒感染。找来干净的KV200软件盘,病毒被消除。 但是,病毒清除后观察硬盘,发现许多文件被删除,且目     

930／3A2病毒的检测和清除

笔者在单位的微机上发现一种新病毒,这种病毒只感染可执行文件(.COM和.EXE),用当前的CPAV、MSAV和SCAN均不能发现该病毒,唯有“超级巡警”KV200能够发现,但不能清除它.该病毒代码长为898个字节,对可执行文件传染后,文件字节增加930个字节,故称之为930/3A2病毒.     

硬盘故障排除一例

目前,我单位一台486微机开机不能直接进入系统,提示:Das is half.press anykey to continue.此时敲任意键后才能进入系统,当运行WINDOWS软件时,屏幕发生旋转。由此怀疑系统感染病毒,但用KILL、MSAV、CPAV和SCAN等软件均未查出病毒,后用KV200检查,报告有CHOST/ONE-HALF幽灵3544病毒,且内存被感染需用干净的系统盘启动。用无毒软盘启动后再用KV200清毒时,仍报告内存有病毒。由此可知KV200本身被病毒感染。找来一张干净的KV200软件盘病毒被清除。     

FLIP病毒的变种——FLIP-2153B

最近,我们发现了兼有文件引导型和系统引导型病毒特点的FLIP病毒的变种FLIP-2153B。其特点是:在带毒文件中,距文件尾部48H处的病毒特征字节是0EB9,在被感染硬盘的主引导扇区,距首部第28字节处的病毒特征字节是5959。病毒从已被感染的可执行文件进入系统时,硬盘立即被感染,但是系统内存不减少;从系统引导过程中进入系统时,系统内存则减少3KB的空间。国家安全局编制的病毒检测软件ScAN 3.1版和查毒软件CPAV能发现位于硬盘主引导扇区的病毒,却不能发现被感染文件中的病毒。病毒编制者修改了病毒的特征字节和部分病毒程序主要是为了逃避查毒软件的检测。     

由一例病毒分析看Novell网的漏洞

近几个月来在我们的Novell网上发现有些.EXE文件长度增加,少数程序不能执行,DOS报告是EXE文件出错。经分析,原因是染上了病毒,由于该病毒末尾有CRACK NOVELL字符,又利用Novell的一个漏洞对Novell网安全性构成威胁,故暂命名为Crack Novell病毒,该病毒用SCAN CPAV KILL KV300 AV95等均查不出。 该病毒只感染EXE文件,链接于文件尾部,驻留内存后在运行文件时感染。文件被感染后,文件头中的文件长度,文件字符累加和及初始IP CS值被改,文件增长1024～1039不等。由于病毒无表现模块,若不注意,较难发现。 此病毒的特点在于对Novell网安全性的破坏。病毒通过修改MCB链驻留内存高端后拦截了INT 2IH的4BH子功能     

清除1099病毒及其变形的方法

“1099”病毒是近年来流行的一种文件型病毒。激发时，将会随机性地改写硬盘，故有的资料称之为“随机格式化病毒”，被改写的硬盘中，文件数据全部丢失，所以是一种“恶性病毒”。1099病毒的感染能力很强，在运行了一个染毒文件后，它就驻留内存，然后在DIR命令下，每列一次目录时，就感染当前目录下的一个可执行文件，先感染．EXE文件，再感染．COM文件。一旦COMMAND．COM文件被感染，则每次开机后它就驻留内存，伺机继续感染其它的可执行文件。研究此病毒可以用如下方法：先把一个无毒的．EXE文件或者．COM文件以．CMP文件复…     

恢复感染DIR—2病毒文件的方法

DIR—2病毒的宿主是可执行文件,当运行了带毒的文件后,其病毒部分驻留内存,并感染默认目录及根目录下的.EXE、.COM文件,染毒文件的长度、日期均不改变。它不寄生在染毒的文件上,而是隐藏在磁盘的最后两个簇上,通过修改被感染文件的首簇号使之指向磁盘的最后两个簇。实现对可执行文件的感染。该病毒传播迅速、破坏性大,用KILL、SCAN等清毒软件均可检测出来,但用它们清除病毒时,它     

1759病毒的解剖与消除

笔者最近在一张游戏盘中发现了一种病毒,用CPAV消毒软件无法检测出来。由于该病毒自身长度为1759字节,故在本文中称为1759病毒。 一、病毒的特征和传播 1、该病毒为常驻内存的文件型病毒。一旦执行带毒程序后,病毒即驻留内存。以后只要执行某一个可执行文件病毒即对其进行传染。     

INOC病毒的解密与消除

本系近来遇到一种新病毒,其现象是感染“.EXE”文件和长度不大于2048字节的“.COM”文件(但不感染COMMAND.COM),感染后长度增加1787～1833字节。用美国的CPAV1.4和MCAFEESCAN113等均无法检测出来;用冰岛大学推出的F-PROT软件可以检测出文件感染了名为“INOC”的病毒,但无法清除,只能把被感染文件改名(“.COM”改为“.VOM”;“.EXE”改为“.VXE”)。运行了带毒程序后,用MEM或MI命令可以看到病毒已用该程序的名字驻留内存,占用2288字节,并截取了INT 2F中断。此外该病毒还有一个特殊现象;若是被感染的文件名为SCAN.EXE,那么运行该文件时屏幕上将会显示出如下一段信息:     

1150／Burglar病毒的分析与清除

近几个月,笔者在上机时,机器常出现死机现象,检查文件发现EXE文件无故增长1150字节,确认感染病毒,但使用KILL76.02、KV200(J)和CPAV2.0均不能查解,经分析发现为新病毒,定名为1150/Burglar病毒。分析与消毒方法如下。 1.病毒特性 参见附表,该病毒为常驻内存的文件型病毒,感染EXE文件,修改原文件的文件头,病毒体追加在EXE文件的尾部。当染毒文件运行时,病毒首先使用DOS功能调用的扩展功能F0H来判断病毒是否已驻留内存,调用返回AX寄存器,如AX=0,则表明病毒已驻留内存,病毒恢复原EXE文件的IP、CS、SS,运行被感染文件,反之,则先驻留病毒自身,再恢复执行染毒文件。     

一种新的DOS病毒——新世纪病毒

最近笔者在学校机房中又发现一种新的DOS病毒,这种病毒用现有的反病毒软件如CPAV,KILL,SCAN等都查不出来,因病毒代码内写有“the new sentry of computer”的字样,故称其为新世纪病毒,这可能是我国又一国产病毒。一、病毒的破坏作用新世纪病毒既是文件型病毒,又是引导区病毒,即病毒既感染可执行文件(COM,EXE),又将自己覆盖在硬盘的主引导扇区,成为BOOT型病毒,该病毒原长为3K字节,感染文件时,对COM型文件直接写在文件尾,对EXE型文件则将3K以上的字节写在文件尾,对传染条件来说,该病毒只要驻留于内存中,则传染是无条件的:你运行一个文件,它感染一个文件,除非磁盘是写保护的,该病毒感染后的EXE文件     

3783病毒及解毒程序K3783.COM

3783病毒是一种新型病毒,用KV300(B)版等杀病毒软件均不能清除该病毒。本病毒不仅感染DOS下的绝大部分文件,也感染WINDOWS下的大部分文件,而且还感染磁盘引导扇区,严重地影响了计算机的正常工作。 被感染文件的长度增加了3783个字节,只有用无毒的系统盘启动计算机才能看出文件长度的变化。被该病毒感染的计算机,对软盘不能进行正常操作。     

反病毒琐谈

计算机病毒层出不穷,而且越来越恶毒与隐蔽,手头不可能总是有最新的反病毒软件,即使有也可能并不能对付你现在遇见的病毒,怎么办?实际上,在上机的时候注意一些,是可以避免大部分病毒的.比如,对于使用AMI的BIOS的人,将CMOS高级设置中的BOOT SECTOR VIRUS PROTEC-TION设置为ENABLE,则任何BOOT病毒试图感染硬盘时,系统将给出警告.另外,使用正版的软件,不用来历不明的软件,教育上机人员,用广谱的反病毒软件等方法也很有用.CPAV若是用好了,对付病毒是极有用的.病毒主要有感染BOOT区和文件型两类,现在也有很多是双料货.有人认为CPAV对付国内的病毒没有多大的用,对于国产的病毒,似乎还是KILL等厉害.这种看法是比较偏颇的.事实上,CPAV虽然查不出很多国产病毒,但它可以“感觉”出被感染系统变化来.如果知道系统感染了,用无毒的系统盘启动后,用硬盘BOOT区的软盘备份覆盖BOOT区,将被感染的文件删除,然后再从备份中灰复或者到其他无毒系统中拷贝,那么在没有最新的杀毒盘时,这可以将损失和恢复的工作量降低到最少.     

一种新型计算机病毒的分析和诊治

笔者最近发现了一种新的良性计算机病毒，用现有的CPAV，SCAN等反病毒软件都不能诊治。感染该病毒的程序比原来增加了1465个字节，因而笔者称这种病毒为1465病毒。分析了核病毒的程序后，用C语言编制了诊治该病毒的程序。1465病毒附在COM和EXE文件的后部。运行有毒文件时，首先执行病毒部分。病毒先检查对号中断，如果对号中断已感染病毒，则执行文件的正常部分；如果对号中断未感染病毒，刚修改对号中断，使其附有1465病毒，并感染COMMAND．COM文件。在内存感染的情况下使用DIR命令，感染相应的COM和EXE文件，并显示文件原来…     

一种新病毒的清除方法

最近在笔者单位的计算机中发现了一种新的病毒,病毒不能被KILL70.01、SCAN108、CPAV1.4所发现和清除.病毒只感染.COM文件,感染病毒的文件长度增加1024(1K)字节.当计算机有病毒时,用DIR命令,在遇到.COM文件时计算机的显示速度明显下降、并有写盘现象.这种病毒是文件型(外壳型)病毒,由于病毒修改了INT21中断,所以感染起采非常迅速.在内存中有病毒的情况下,只要打DIR命令就能将当前目录下所有.COM文件感染上病毒.不过此时用DIR命令不能发现.COM文件的长度和日期有变化,用PCTOOLS工具可看到文件的长度多了1024字节.     

新病毒动态

·Win32／Crypto病毒该病毒感染Win95、98、2000和WinNT系统。一次感染20个可执行文件（包括压缩文件）。当被感染的EXE文件运行后,将在WIndows目录下生成一个带毒的KERNEL32.DLL文件副本,并修改WININTT.INI文件,从而在下次启动时替代原KERNEL32.DLL文件。该病病毒在KERNEL32文件中没有加密,病毒代码放在文件的最后,病毒体长度为周280字节。Win32／Crypto病毒还会删除反病毒数据库文件,并加密个DLL文件,直到WindowsAPI（SR2／NT）函数访问该动态链接文件时才自动解密。如果病毒被移步,这个DLL文件残体仍会…     

当下载完成之后……

我们用惯了FlashGet或者“迅雷”下载文件，也习惯了下载完成之后打开文件所在的文件夹，然后右击压缩文件选择“解压缩”，或者双击可执行文件运行……但你有没有想过让它们给我们带来更多的方便，自动完成我们已经习惯了的工作？于是，笔者编写了一个VBScript文件，利用下载软件中人们并不常用的“完成之后自动调用杀毒”的功能，实现了这个想法。     

一种既不增加文件长度又不破坏主引导区的两栖型病毒—451病毒

最近,笔者发现了一种既不增加文件长度,又不破坏硬盘主引导区的两栖型病毒,由于病毒主体长451字节,故取名为451病毒.用KV200来查感染上451病毒的硬盘,KV200只报告在DOS引导区发现病毒,具体病毒的名字叫不出来,而对硬盘中感染上451病毒的文件,KV200则毫无察觉.用SCAN111及SCAN117来清查感染上451病毒的硬盘,报告结果是硬盘DOS引导区有GENB病毒和一些EXE文件有BFD病毒,但这些版本相应的CLEAN,却报告感染上BFD病毒的EXE文件不能安全地清除病毒,只能删除带毒的文件,因此笔者认为SCAN软件作为     

2311病毒与消除

最近,学校机房的286,386微机上传染了一种新型的病毒,长度为2311字节,运行时,病毒用中文显示简装磁盘等信息,故暂名“简装磁盘”或“2311”病毒。由于病毒的传染,造成许多软件运行时速度变慢,字节增多,大量占用磁盘空间,多次运行时内存溢出,有时甚至一开机就出现死机等现象,严重干扰正常的学习、工作。当前流行的CPAV,CLEAN,KILL,KV200等杀毒软件都不能消除这种病毒。经过跟踪,笔者掌握了这种病毒传染机制,并用C语言编写出了彻底消除这种“2311”病毒的程序。经过实际应用,效果良好。