新世纪病毒的发现与清除 西南铝加工厂 张建勇 1992-05-15 一、如何发现新世纪病毒 1、如果在文件中发现“YaQi”等关键字,文件中就一定有新世纪病毒。 2、病毒的头两条指令是: E8 FD 00 CALL 病毒偏移+100H E8 FA 01 CALL 病毒偏移+200H 3、在硬盘分区表中有:“New Cerntry of computer Now!”。 4、ah赋54H,bx赋9064H,调用DOS功能,返回ax为9064H,则内存有病毒。 二、如何清除新世纪病毒 1、清除硬盘分区表内病毒,只需调物理第二扇区内容覆盖第一扇区即可。 2、清除COM文件中的病毒时,如程序前为E9H的,取后一个字加3即得原程序长度。此字+89H所得偏移处的五个字节为原程序头五个字节。 3、EXE程序中病毒的清除。病毒程序偏移6CH为原程序长度低字节,6EH为原程序长度高字节;病毒程序后偏移64H是CS值,偏移66H为IP值,偏移68H放SSW值,偏移64H放SP值。 根据以上说明,用户即可删除此病毒。