病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
其它
病毒长度:
1537
影响系统:
Win9x
病毒行为:
编写工具:汇编
传染条件:无
发作条件:无
系统修改:
A.感染当前盘所有EXE文件。具体步骤如下:
(1)首先判定是否是PE可执行文件及是否已经被感染过。
(2)将前n-1个节的属性改为可写
(3)保存原程序的载入信息:
a)保存输入表ImportTable的RVA地址 到病毒体偏移5B5h(DD)处;
b)保存装入基址RVA 到病毒体偏移5B1h(DD)处;
c)保存入口RVA 到病毒体偏移01h(DD)处(push指令的操作数)。
(4)修改程序的入口为:最后一块的块尾+1,即VirtualAddress+SizeofRawData
(5)修改最后一块的SizeOfRawData为“原始大小+915h”后重新计算对齐的大小
(6)修改IMAGE_SECTION_HEADER.Misc.VirtualSize和IMAGE_NT_HEADERS.OptionalHeader.SizeOfImage,将其加上“915h计算对齐后的大小”
(7)修改IMAGE_SECTION_HEADER.Characteristics,使其具有0C0000020h属性(包含代码、可写、可读)
(8)设置感染标志:IMAGE_NT_HEADERS.OptionalHeader.MinorOperatingSystemVersion=5330h
(9)将文件大小的低8位作为加密子存于病毒体偏移48h(DB)处。
(10)将文件增大1537字节,将病毒体的前49h字节解密代码复制到文件原始的(PointerToRawDat+SizeOfRawData)起始处
(11)将病毒体接下来的5B8h字节依次与病毒体偏移48h(DB)处的数字异或后复制到文件尾部。
发作现象:
每次都会对当前盘符下的所有文件进行扫描,寻找符合条件的文件进行感染,导致系统变慢。
非凡说明:
该病毒采用了加密算法,每次感染的文件时都会被改变一次加密子,从而形成一个不同的病毒体。
