Tpvo/3783 病毒的分析和防治

病毒介绍: 　 TPVO/3783 病毒是一种传染性、隐蔽性都很强的病毒，它的独到之处是可以传染 WINDOWS 文件，使病毒可以在　WINDOWS　执行时驻留内存。
 　 该病毒传染硬盘、软盘引导区及 WINDOWS、DOS 可执行程序，包括.EXE.COM.OVL.386 等等文件，不传染带覆盖的文件，程序被传染后长度增加 3783 字节， 文件日期被
加上 100 年作为传染标记。
 　 该病毒驻留内存后，用 DIR 命令看不出文件长度的变化，用 INT 13H　读出的磁盘引导记录是正常的，而不是带毒的引导记录，用应用程序读出的带毒文件也都是正常的，
但是由 ARJ、PKZIP、RAR、LHA、BACKUP、MSBACKUP、TELIX　七个程序读出的文件却是带毒的，所以被这些压缩程序压进文件包或用 TELIX　通过调制解调器传到其他地方的文件
是带毒的，由此可见该病毒在隐藏和传播上的用心良苦。
 　 该病毒在传染硬盘主引导区时隐藏于 0 柱面 0 头 5 扇区，传染软盘引导区时隐藏于新格式化的第 81 个磁道，传染文件时附在文件尾部，病毒本身不加密。
当带毒的 WINDOWS 系统运行时，根目录中的虚拟内存文件 386SPART.PAR 属性会变成普通属性，用 DIR 命令可以列出。
病毒分析:

1. 驻留内存及截取中断

 　 该病毒采用修改内存控制块的方法来驻留内存，如果 UMB 存在，病毒会驻留在 UMB中，该病毒驻留内存后截取 INT 21H 和 INT 13H 中断，来完成对文件和引导区的传染，
在截取 INT 21H 时，该病毒采取了与众不同的方法。下面是 INT 21H 内部片断，在中断程序完成了初始化后，将 AH 中的功能号放在 BX 中再乘 2，再用查表的办法得到相应子
程序的地址，然后用近调用来执行相应子程序，具体见下：
 　　．．．
 　　FDC8:4198 8ADC　　　　MOV　BL,AH　　　　　 ；AH 为子功能号
 　　FDC8:419A D1E3　　　　SHL　BX,1　　　　　　；放于 BX 中再乘 2
 　　．．．
 　　FDC8:41EA 2E8B9F9E3E　MOV　BX,CS:[BX+3E9E] ；3E9E 为各功能地址表的基地址
 　　FDC8:41EF 36871EEA05　XCHG BX,SS:[05EA]　　；调用地址在 05EA 中

• [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] 下一页 

相关文章

• 木马病毒下载恶意程序
• 对于SSH crc32 compensation attack detector exploit 的分析
• 软件项目可行性分析和需求分析(1)
• 打印机监控王 V3.08注册算法分析及注册机源码
• win2000下手动破解Elib2.01 算法分析 上
• WLAN与GSM室内覆盖合路原理和干扰分析
• 揭密 SOC 高性能实时事件关联分析引擎
• 常见硬盘电路原理分析

相关软件

• 《0day安全:软件漏洞分析技术》[PDF]
• FMEA失效模式与效应分析系统 3.01
• 可行性的分析报告
• 公司投资可行性分析报告模板
• 生成树协议故障原因分析
• Apache Server 源代码分析
• 计算机病毒防治、检测与清除
• 盈时生命线股票外汇看盘分析平台 0.75
• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com