§ 概要

病毒别名：

处理时间：

威胁级别：★

中文名称：

病毒类型：未知

影响系统：Win9x

病毒行为:

编写工具:汇编

传染条件:无

发作条件:无

系统修改:

A.感染当前盘所有EXE文件。具体步骤如下：

(1)首先判断是否是PE可执行文件及是否已经被感染过。

(2)将前n-1个节的属性改为可写

(3)保存原程序的载入信息：

a)保存输入表ImportTable的RVA地址 到病毒体偏移 5B5h(DD)处；

b)保存装入基址RVA 到病毒体偏移 5B1h(DD)处；

c)保存入口RVA 到病毒体偏移 01h(DD)处(push指令的操作数)。

(4)修改程序的入口为：最后一块的块尾+1，即VirtualAddress+SizeofRawData

(5)修改最后一块的SizeOfRawData为“原始大小+915h”后重新计算对齐的大小

(6)修改IMAGE_SECTION_HEADER.Misc.VirtualSize和IMAGE_NT_HEADERS.OptionalHeader.SizeOfImage,将其加上“915h计算对齐后的大小”

(7)修改IMAGE_SECTION_HEADER.Characteristics,使其具有0C0000020h属性(包含代码、可写、可读）

(8)设置感染标志：IMAGE_NT_HEADERS.OptionalHeader.MinorOperatingSystemVersion=5330h

(9)将文件大小的低8位作为加密子存于病毒体偏移48h(DB)处。

(10)将文件增大1537字节，将病毒体的前49h字节解密代码复制到文件原始的（PointerToRawDat+SizeOfRawData）起始处

(11)将病毒体接下来的5B8h字节依次与病毒体偏移48h(DB)处的数字异或后复制到文件尾部。

发作现象:

每次都会对当前盘符下的所有文件进行扫描，寻找符合条件的文件进行感染，导致系统变慢。

特别说明:

该病毒采用了加密算法，每次感染的文件时都会被改变一次加密子，从而形成一个不同的病毒体。

§ 相关条目

计算机 木马 病毒 网络 软件 系统

• 双龙井
• 双龙双瓶白瓷尊
• 双龙吐珠
• 双龙巷
• 双龙戏珠纹葵瓣式盒
• 双龙戏珠锦
• 双龙戏菇
• 双龙松
• 双龙桥
• 双龙汽车
• 双龙洞
• 双龙海
• 双龙湖
• 双龙湖景区
• 双龙溶洞群
• 双龙爱腾
• 双龙站
• 双龙谷
• 双龙路帝
• 双龙镇
• 双龙间谍
• 双龙雷斯特
• 双龙雷斯特II
• 双龙风景名胜区
• 双�F