HELLOK病毒的诊治 烟 台 王 江 民 1993-02-26 一、HELLOK病毒的特征 1当调用被HELLOK病毒感染的EXE文件运行时,病毒将自身驻进内存,我们在9FB0:0H至9FB0: 0500H段地址处可以看到完整的病毒程序。用PCTOOLS检查,内存总量减少2k字节。病毒将自身代码贴附于文件尾部,使每一染毒文件增加1265至1280字节。被感染的EXE文件头部原SS、SP、IP、CS被病毒移换,原值存在文件尾部病毒代码主体内。 2病毒感染EXE文件时,首先探测文件头部1CH处的十六进制码是否为“5947”,否则立即对之感染。 二、HELLOK病毒的危害 病毒驻进内存后,感染EXE文件和破坏某些系统参数,使某些具有图形、图像功能的文件不能运行。如浪潮智能联想汉字系统,一运行就死机。病毒在磁盘上产生大量的无用的小文件,一个小文件占306个字节。 三、HELLOK病毒的检测要检测内存中是否有此病毒,可用DEBUG查看段地址9FB0:0H-9FB0:0500H处是否潜伏着病毒程序,病毒头部的十六进制码为“2E8C068201”。也可执行没感染病毒的EXE文件,再查看该文件长度是否增加了1265至1280字节。 四、HELLOK病毒的清除 用不带有病毒、有写保护的系统软盘启动后,先将名为HELLOK的小文件删除,然后再用DEBUG程序清除HELLOK病毒。即将藏在病毒程序CS:1A2H、1A4H、1A6H、1A8H原文件头部的CS、IP、SS、SP值移回到文件头部的相应位置上,再将文件头部的页长度值减2,最后将文件尾部的病毒程序裁掉即可。手工清除太慢,也可编程完成上述任务。(烟台王江民)