词条 | COM.Div.725 |
释义 | § 概要 病毒别名: 处理时间: 威胁级别:★ 中文名称: 病毒类型:未知 影响系统:DOS 病毒行为: <暂缺> 编写工具:汇编 传染条件:<无> 发作条件:<无> 系统修改: A. 病毒程序运行后,会感染当前目录的所有COM文件,感染过程如下: (1) 查找当前目录下的所有COM文件, (2) 找到一个后,将文件前面31h字节读入内存中代码段偏移036Eh处(位于第二节)。 (3) 先检查是否可感染: a) 不是MZ文件, b) 没有感染过(判断前2字节是不是 33 C0:xor ax, ax), c) 文件大小在400h到FB4h之间 (4) 没有感染过,在病毒体第一节(31h bytes)中偏移(2Dh)处写入原始文件大小+38Dh(DW),然后用第一节覆盖文件头。 (5) 将原始文件100h起1A7h个字节复制到文件尾部 (6) 将原始文件300h起0E0h个字节复制到文件尾部 (7) 将病毒第四节(48h字节)复制到文件尾部 (8) 将病毒第二节(1A7h字节)加密后写入到文件100h处 (9) 将病毒第三节(0E0h字节)写入到文件300h处 B. 文件感染完成后,修改int 21h中断并驻留。 (1) 先调用 int 21h, ax=0BABAh,如果病毒已经驻留,会返回AX=0FACCh, (2) 没有驻留的话,修改程序MCB给自己留一块空间出来,并修改中断向量表中int21h的入口指向病毒提供的向量。 (3) 驻留的病毒对ax=0BABAh(病毒驻留检查)及ah=4bh(运行程序)进行处理。但远行程序的处理中,什么也没做,怪事。 发作现象: <无> 特别说明: 这个病毒会将自己分成多段写入到文件,并且还会对自身进行加密处理。 § 相关条目 计算机 木马 病毒 网络 软件 系统 |
随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。