Virus 版 (精华区)

发信人: duck (肥猫), 信区: Virus
标  题: 1150/Burglar病毒的分析与消除1
发信站: 紫 丁 香 (Sun Apr 26 08:57:06 1998), 转信

 近几个月,笔者在上机时,机器常出现死机现象,检查文件发现EXE文
件无故增长1150字节,确认感染病毒,但使用KILL76.02、KV200(J)和C
PAV2.0均不能查解,经分析发现为新病毒,定名为1150/Burglar病毒。
分析与消毒方法如下。

    1.病毒特性
    参见附表,该病毒为常驻内存的文件型病毒,感染EXE文件,修改原
文件的文件头,病毒体追加在EXE文件的尾部。当染毒文件运行时,病
毒首先使用DOS功能调用的扩展功能F0H来判断病毒是否已驻留内存,
调用返回AX寄存器,如AX=0,则表明病毒已驻留内存,病毒恢复原EXE文
件的IP、CS、SS,运行被感染文件,反之,则先驻留病毒自身,再恢复执
行染毒文件。
    病毒使用加密技术进行自身保护,将被感染EXE文件原文件头中的
SS、SP、IP、CS值先与76H异或再与77H异或后,保存于病毒体偏移403
H-40CH中.病毒特征字为"43 4C 48 57 54 42  46", 保存于病毒体偏
移40EH开始处。
附表

    2.查毒与杀毒方法
    由以上病毒特性,可检查出你的系统是否染毒,并杀除病毒,方法
如下:
    (1)检查系统是否染毒
    C:\DOS\DEBUG
    -a
    XXXX:0100 mov ax,f078
    XXXX:0103 int 21
    XXXX:0105 int 3
    -g
    AX=0000 BX=......
    如果AX=0000,则可确定你的机器已经感染1150病毒。
    (2)用DEBUG手工杀毒
    以染毒DOS文件EXPAND.EXE为例,染毒后EXPAND.EXE长17279(437F
H)字节。
    C:\>REN EXPAND.EXE EXPAND
    C:\>DEBUG EXPAND
    -s 100,447F "CLHWT"(447FH为文件长度加100H)
    XXXX:440F
    -d 4400
    XXXX:4400 F9 58 C3 90 87 02 01 03-01 01 01 00 F1 FE 90 4
3 .X.............C
    XXXX:4410 4C 48 57 54 42 46 2D 57-43 54 4B 00 00 00 00 4
2 LHWTBF-WCTK....B
    XXXX:4420 ...
    从440F处的"C",向左数11字节,自4404处87H开始的10字节为原文
件头(染毒前文件头)信息。
    计算: 除第一字节的87H只与76H异或外,其余字节分别与76H、77
H两次异或。结果为
    1 03 00 02 00 00 00 01 F0 FF,分别对应原EXE文件头中的SS、
SP、字检查和IP、CS。-d 100(调入EXE文件头)
    XXXX:0100 4D 5A 7F 01 22 00 01 00-08 00 D0 09 FF FF E8 0
3 MZ.."...........
    计算原文件头文件长度字:(22H*200H+017FH)-47EH 除以200H,取
余得101H ,取整得20H 。
    恢复文件头:
    -e 0102
    XXXX:0102 7F.01 01.01 22.20 00.00
    -e 010E
    XXXX:010E E8.F1 03 03
    XXXX:0110 7F.00 04.02 79.00 00.00 01.00 00.01 E8.F0 03.F
F
    -h 437F 47E(计算原文件长度)
    47FD 3F01
    -rcx
    CX 437F
    :3F01
    -w
    Writing 03F01 bytes
    -q


--
※ 来源:．紫 丁 香 bbs.hit.edu.cn．[FROM: oncs.hit.edu.cn]