概要
病毒別名:
處理時間:
威脅級別:★
中文名稱:
病毒類型:未知
影響系統:Win9x
病毒行為:
編寫工具:彙編
傳染條件:無
發作條件:無
系統修改:
A.感染當前盤所有EXE檔案。具體步驟如下:
(1)首先判斷是否是PE執行檔及是否已經被感染過。
(2)將前n-1個節的屬性改為可寫
(3)保存原程式的載入信息:
a)保存輸入表ImportTable的RVA地址 到病毒體偏移 5B5h(DD)處;
b)保存裝入基址RVA 到病毒體偏移 5B1h(DD)處;
c)保存入口RVA 到病毒體偏移 01h(DD)處(PUSH指令的運算元)。
(4)修改程式的入口為:最後一塊的塊尾+1,即VirtualAddress+SizeofRawData
(5)修改最後一塊的SizeOfRawData為“原始大小+915h”後重新計算對齊的大小
(6)修改IMAGE_SECTION_HEADER.Misc.VirtualSize和IMAGE_NT_HEADERS.OptionalHeader.SizeOfImage,將其加上“915h計算對齊後的大小”
(7)修改IMAGE_SECTION_HEADER.Characteristics,使其具有0C0000020h屬性(包含代碼、可寫、可讀)
(8)設定感染標誌:IMAGE_NT_HEADERS.OptionalHeader.MinorOperatingSystemVersion=5330h
(9)將檔案大小的低8位作為加密子存於病毒體偏移48h(DB)處。
(10)將檔案增大1537位元組,將病毒體的前49h位元組解密代碼複製到檔案原始的(PointerToRawDat+SizeOfRawData)起始處
(11)將病毒體接下來的5B8h位元組依次與病毒體偏移48h(DB)處的數字異或後複製到檔案尾部。
發作現象:
每次都會對當前盤符下的所有檔案進行掃描,尋找符合條件的檔案進行感染,導致系統變慢。
特別說明:
該病毒採用了加密算法,每次感染的檔案時都會被改變一次加密子,從而形成一個不同的病毒體。
