病毒别名:
处理时间:
威胁级别:★
中文名称:
病毒类型:未知
影响系统:DOS
病毒行为:
<暂缺>
编写工具:汇编
传染条件:<无>
发作条件:<无>
系统修改:
A. 病毒程序运行后,会感染当前目录的所有COM文件,感染过程如下:
(1) 查找当前目录下的所有COM文件,
(2) 找到一个后,将文件前面31h字节读入内存中代码段偏移036Eh处(位于第二节)。
(3) 先检查是否可感染:
a) 不是MZ文件,
b) 没有感染过(判断前2字节是不是 33 C0:xor ax, ax),
c) 文件大小在400h到FB4h之间
(4) 没有感染过,在病毒体第一节(31h bytes)中偏移(2Dh)处写入原始文件大小+38Dh(DW),然后用第一节覆盖文件头。
(5) 将原始文件100h起1A7h个字节复制到文件尾部
(6) 将原始文件300h起0E0h个字节复制到文件尾部
(7) 将病毒第四节(48h字节)复制到文件尾部
(8) 将病毒第二节(1A7h字节)加密后写入到文件100h处
(9) 将病毒第三节(0E0h字节)写入到文件300h处
B. 文件感染完成后,修改int 21h中断并驻留。
(1) 先调用 int 21h, ax=0BABAh,如果病毒已经驻留,会返回AX=0FACCh,
(2) 没有驻留的话,修改程序MCB给自己留一块空间出来,并修改中断向量表中int21h的入口指向病毒提供的向量。
(3) 驻留的病毒对ax=0BABAh(病毒驻留检查)及ah=4bh(运行程序)进行处理。但远行程序的处理中,什么也没做,怪事。
发作现象:
<无>
特别说明:
这个病毒会将自己分成多段写入到文件,并且还会对自身进行加密处理。