病毒名称:
Win32.Idele.2060
类别: 蠕虫病毒
病毒资料:
破坏方法:
PE格式的恶意程序。
这是感染PE格式exe文件的病毒,一旦感染,原文件被彻底破坏,不能恢复。
一、该病毒破坏文件的导入表。
原程序对Kernel32.dll的引用函数表,被破坏为仅仅引用一个函数“GlobalAlloc”。
病毒使用该函数分配内存。
病毒破坏原程序导入表其他函数的地址,指向病毒代码模块。该模块位于某个节的末尾空闲区域。
二、 当原程序进行API调用时,跳入病毒模块。病毒使用GlobalAlloc”申请0xA00字节内存 把病毒代码拷贝过去,解密后跳过去运行。病毒代码采用查找kernel32.dll导出表的方式初始化API地址。创建一个线程继续感染其他文件。
三、 病毒感染标记是在文件偏移0x12的地方 两个字节是 “TI” 即0x5449。
四、病毒覆盖文件最后一个节,并改名为“.Pdata”.
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-12-19