病毒名称(中文):
波尔扎诺
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
其它
病毒长度:
32768
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
传染条件:
发作条件:
系统修改:
1.
设置文件%SystemDrive%NTLDR的属性为归档
假如该文件中存在一个长度为5个字节的串3B,46,58,74,07
也就是下面的代码:
cmpeax,[esi+58h]
jzlabel(注:label表示一标号)
则用3B,46,58,EB,07这5个字节来替换之
也就是下面的代码:
cmpeax,[esi+58h]
jmplabel(注:label表示一标号)
2.
设置文件%System%
toskrnl.exe为归档
假如该文件中存在一个长度为9个字节的串8A,C3,5F,5E,5B,5D,C2,28,00
也就是下面的代码:
moval,bl
popedi
popesi
popebx
popebp
retn28h
则用B0,01,5F,5E,5B,5D,C2,20,00这9个字节来替换之
也就是下面的代码:
moval,1
popedi
popesi
popebx
popebp
retn28h
3.
在\%SystemRoot%Cookies目录下查找文件pgoat80.EXE,假如找到就删除
4.
创建一个感染线程
5.
判定从C到Z驱动器的类型,假如驱动器可用并且不是移动磁盘和光驱则遍历该驱动器,查找符合感染条件的PE格式的
EXE文件和rcs文件.感染的时候,该病毒是将宿主程序的最后一个节扩大1000H个字节,并将病毒体写入到这块扩展的空间内
修改宿主程序的入口地址为最后一个节末尾的下一个字节,也就是从病毒体的第一条指令开始执行
下面是病毒体开始执行处的部分代码:
.reloc:0040B200pushoffsetloc_401000
.reloc:0040B205pusha
.reloc:0040B206callsub_40B7E5---------->病毒重定位
.reloc:0040B20Bmoveax,[esp+24h]
.reloc:0040B20Fcmpeax,80000000h
.reloc:0040B214jashortloc_40B224
.reloc:0040B216xchgeax,ecx
.reloc:0040B217xchgeax,ecx
.reloc:0040B218movesi,7AAh
.reloc:0040B21Dmovedi,77F00000h
.reloc:0040B222jmpshortloc_40B22E
发作现象:
1.
该病毒在内存中搜索某个API函数地址的时候,假如搜索不到它会弹出一个消息框并结束运行
该消息框的标题是:"SOPHOSPEGOAT",内容是:"SophosPEGoat-Size32768",请见附图Win32.Bolzano.jpg
2.
文件尺寸无缘无故的变大了
非凡说明:
1.
当出现17点中的第1种现象的时候,该病毒并没有启动感染线程
2.
该病毒的感染条件比较苛刻,运行多次都没有得到感染样本
感染条件有:
必须是PE格式的EXE文件或RSC文件
用文件的时间作为参数进行某种运算,运算结果必须与某个值相等
文件的尺寸不能小于16384字节
文件DOS块跟PE文件头的距离不大于300h
3.
该病毒是采用递归的方式查找可感染文件的,为了不引起死循环,该病毒不遍历当前目录
