病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
其它
病毒长度:
725
影响系统:
DOS
病毒行为:
<暂缺>
编写工具:汇编
传染条件:<无>
发作条件:<无>
系统修改:
A.病毒程序运行后,会感染当前目录的所有COM文件,感染过程如下:
(1)查找当前目录下的所有COM文件,
(2)找到一个后,将文件前面31h字节读入内存中代码段偏移036Eh处(位于第二节)。
(3)先检查是否可感染:
a)不是MZ文件,
b)没有感染过(判定前2字节是不是33C0:xorax,ax),
c)文件大小在400h到FB4h之间
(4)没有感染过,在病毒体第一节(31hbytes)中偏移(2Dh)处写入原始文件大小+38Dh(DW),然后用第一节覆盖文件头。
(5)将原始文件100h起1A7h个字节复制到文件尾部
(6)将原始文件300h起0E0h个字节复制到文件尾部
(7)将病毒第四节(48h字节)复制到文件尾部
(8)将病毒第二节(1A7h字节)加密后写入到文件100h处
(9)将病毒第三节(0E0h字节)写入到文件300h处
B.文件感染完成后,修改int21h中断并驻留。
(1)先调用int21h,ax=0BABAh,假如病毒已经驻留,会返回AX=0FACCh,
(2)没有驻留的话,修改程序MCB给自己留一块空间出来,并修改中断向量表中int21h的入口指向病毒提供的向量。
(3)驻留的病毒对ax=0BABAh(病毒驻留检查)及ah=4bh(运行程序)进行处理。但远行程序的处理中,什么也没做,怪事。
发作现象:
<无>
非凡说明:
这个病毒会将自己分成多段写入到文件,并且还会对自身进行加密处理。
