荔园在线

荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀

[回到开始] [上一篇][下一篇]


发信人: Mic (酷鱼), 信区: Virus
标  题: [合集]谈谈这种未知病毒(转载)
发信站: 荔园晨风BBS站 (Mon Apr 16 19:07:24 2001), 转信

===================
发信站: 逸仙时空 Yat-sen Channel (Fri Apr 13 11:05:04 2001), 站内信件
===================
menway (每天爱你多一些) 于Wed Apr 11 09:36:15 2001提到:

通过比较病毒感染前后的可知行文件代码,我发现:
    第一,该病毒只感染win32下的exe文件,并不感染dos下的exe,com等可执行文件;

    第二,该病毒不能够感染压缩文件里面的可执行文件;
    第三,该病毒经过一种名叫UPX executable packer的可执行文件打包软件的压缩,
可能是源程序比较长,作者有意缩短可执行代码的长度或者相通过此手段对源文件加密;

    第四,该病毒特征码明显,在文件的最后有WormDll.dll等字样,使得查找该种病毒
很容易;
    第五,该病毒只是简单的把源代码置于源文件后面并加上跳转语句来实现感染,病
毒机理简单,使得杀掉这种病毒很容易。

综合以上,我觉得查杀这种病毒并不困难,本人也在编写相应的程序,这种病毒与CIH等
病毒相比,很是幼稚,居然在写文件的时候连文件的原来日期都改成感染时候的日期了
,真是可笑,本人现在怀疑该病毒出自一个不怎么会编病毒的人之手,有可能是中大内
部某个编程爱好者所为,呵呵。

另外,本人正在编写查杀该病毒的软件,将于近日呈给各位。小生不才,还请各位兄长
批评指正。

附:病毒测试记录 测试环境:windows professional 2000
========================================================================
Win32 EXE File Test

C:\>dir a:
 驱动器 A 中的卷是 MENWAY
 卷的序列号是 343F-15E7
 A:\ 的目录
2001-02-17  14:08               29,008 win98-8029(506).exe
               1 个文件         29,008 字节
               0 个目录         18,432 可用字节
C:\>copy a:\win98-8029(506).exe c:
已复制         1 个文件。
C:\>dir c:\*.exe
 驱动器 C 中的卷是 Windows 2000
 卷的序列号是 24E5-BAC1
 c:\ 的目录
2001-04-11  05:10                    0 Test.EXE
2001-02-17  14:08               29,008 win98-8029(506).exe
               2 个文件         29,008 字节
               0 个目录    700,239,872 可用字节

经过病毒感染后……

C:\>dir c:\*.exe
 驱动器 C 中的卷是 Windows 2000
 卷的序列号是 24E5-BAC1
 c:\ 的目录
2001-04-11  05:10                    0 Test.EXE
2001-04-11  05:25              202,572 win98-8029(506).exe
               2 个文件        202,572 字节
               0 个目录    700,067,840 可用字节
C:\>
==========================================================================
DOS EXE File Test
C:\>dir a:
 驱动器 A 中的卷是 MENWAY
 卷的序列号是 54A0-F59B
 A:\ 的目录
2001-04-11  05:45               71,178 1.exe
               1 个文件         71,178 字节
               0 个目录      1,385,984 可用字节
C:\>dir c:\1.exe
 驱动器 C 中的卷是 Windows 2000
 卷的序列号是 24E5-BAC1
 c:\ 的目录
2001-04-11  05:45               71,178 1.exe
               1 个文件         71,178 字节
               0 个目录    835,624,960 可用字节

经过病毒感染后……

C:\>dir c:\1.exe
 驱动器 C 中的卷是 Windows 2000
 卷的序列号是 24E5-BAC1
 c:\ 的目录
2001-04-11  05:45               71,178 1.exe
               1 个文件         71,178 字节
               0 个目录    835,624,960 可用字节
C:\>
============================================================================
ZIP(INCLUDING A EXE FILE) File Test

C:\>dir a:
 驱动器 A 中的卷是 MENWAY
 卷的序列号是 343F-15E7
 A:\ 的目录
2001-04-11  05:37               34,294 1.zip
               1 个文件         34,294 字节
               0 个目录         13,312 可用字节
C:\>copy a:\1.zip c:\
已复制         1 个文件。
C:\>dir c:\1.zip
 驱动器 C 中的卷是 Windows 2000
 卷的序列号是 24E5-BAC1
 c:\ 的目录
2001-04-11  05:37               34,294 1.zip
               1 个文件         34,294 字节
               0 个目录    699,883,520 可用字节

经过病毒感染后……

C:\>dir c:\1.zip
 驱动器 C 中的卷是 Windows 2000
 卷的序列号是 24E5-BAC1
 c:\ 的目录
2001-04-11  05:37               34,294 1.zip
               1 个文件         34,294 字节
               0 个目录    835,661,824 可用字节
C:\>



====================
zecon (飞天*潜水) 于Wed Apr 11 12:17:11 2001提到:


终于遇到一位高手
由衷感谢你
希望到时能用到兄台的杰作


=====================
beos (木木) 于Thu Apr 12 03:22:06 2001提到:


但是我在瑞星在线杀毒时发现的确有ZIP下面的EXE或者DLL文件被感柒。
用上面方法可杀,但总是杀不干净,我总觉得病毒感柒的速度比杀毒来得快!


======================
zecon (飞天*潜水) 于Thu Apr 12 03:47:07 2001提到:

它不会感染zip文件里的东西的
一定是感染后zip的
因为它驻留在内存里,所以杀不完


======================

--
               ﹀                ▲                   ▲    \  /
           ﹀                   ▲▲▲   ▲▲  ?    ▲▲▲― ● ―
         ﹀                                       ▲ ▲▎▲ /  \            ▃
            ▁▅    ▁▃▇█▅▃▁               ▲▲┻▍▲             ▃▇█
    ▁▃▅▇███▅▁    ∞:      ∞:                 ▍       ▁▃▅████
                       ∞:    ∞:           ├┼┼┬ γ▍γγ┤       m i c ◤

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.28.108]


[回到开始] [上一篇][下一篇]

荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店