荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: fout (★★★辉★★★), 信区: Virus
标 题: Win9X.Marburg 病毒
发信站: BBS 荔园晨风站 (Thu Mar 2 15:17:53 2000), 站内信件
继CIH病毒后,又一种更加复杂的32位编程的变形病毒Marburg开始在中国流行。 它是一
种WIN95/98系统下能传染的病毒,是又一种32位编程方式的Windows病毒,原产于西方国家
,感染Windows下有关可执行文件。
当染毒文件在WIN95/98下被执行时,病毒先被执行,但病毒不驻留内存。
病毒在被激活过程中,先自我解密,再搜索Windows、Windows System和病毒存在的当
前目录, 并判断这些目录下的文件的扩展名是否为EXE和SCR。病毒还判断要感染的文件前
两个字节是否为4D5A,再判断是否为PE格式文件,病毒还要判断将要被感染的文件是否可以
在386CPU下才能运行的文件,病毒还要判断文件总长能否被101整除,不能被整除就感染。
病毒还要判断文件名中是否有“V”、“PAND”、“F-PR”、“SCAN”字母,如有就躲开这
些文件。这是为了躲开常见的反病毒软件,因为这些反病毒软件的名字中通常都带有这些字
母或字串, 因这些文件一但被病毒感染,便会自我报警。
Marburg病毒为了对抗反病毒软件的查解,每感染一个文件, 将文件映象开始执行处的
部分原文代码搬到病毒体内某处进行加密潜藏, 病毒对自身代码也进行了加密。病毒每传
染一个文件就变化一种新的样子,病毒具有无数次变形。病毒传染文件后将主体贴附在文件
后部,其增加字节数不定,约为78XX左右。
Marburg病毒发作条件如下:正在运行被Marburg病毒感染的文件;该文件被
Marburg病毒感染后超过三个月;文件正在运行的时间与正在运行的文件被Marburg病毒感染
的时间相同,病毒发作时,会随机在屏幕上显示出Windows错误图标。
病毒不直接破坏数据,个别文件被病毒感染后已坏掉,不能再运行。
==============================
--
☆ 来源:.BBS 荔园晨风站 bbs.szu.edu.cn.[FROM: bbs@210.39.3.80]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店