“1167”病毒分析与清除 1994-12-09 一、该病毒特点: 1.在可执行文件被感染后,长度增长1167--1182字节。 2.“1167”病毒在内存驻留后,传染力不强,只在运行执行文件时才感染。 3.病毒发作时,若硬盘存,将封锁键盘,同时格式化硬盘。 4.此病毒驻留内存高端,使基本内存减少2K,修改DOS的21号中断的内容,重新设置AX=E7DD,用来判定该病毒是否在内存,若在,则AX=DDE7,接管4B00执行功能,并在此功能中置取系统日期,若时间12月2日(此时间还可能改变)时,在执行时发作。 二、病毒的检测:(用DEBUG) DEBUG↓ -A100↓ XXXX:100 MOV AX,E7DD↓ XXXX:103 INT 21↓ XXXX:105 INT 3↓ XXXX:106↓ -G=100↓ 若AX=DDE7则内存已有该病毒。 三、病毒的清除: 经分析,已感染的文件长度都大于1167(48fh)字节。在文件到数048fh处为病毒的特征字为8C C8 05;在到数480h处若为4D 5A则为被感染的.EXE文件,否则为.COM文件。对于.COM文件,原文件前面的0bh字节放在到数480h处,将其写回,文件长度减48fh即可;对.EXE文件,原文件头的几个重要参数放在到数0168h处的4个字(8个字节),此四个字要别是原头文件的0eh(ss).10h(ip).16h(cs),文件长中的页面以及页面余量也要作相应的调整,然后文件长度减048fh即可。 该程序能自动搜索指定盘或指定路径下的子目录,在取消过程MEMCHECK的情况下,可带毒在TURB0 PASCAL 5.5下编译。经多次应用,效果比较好。 需具体程序者可与重庆师范学院数学系91级任和雷联系。