基本介紹
- 中文名:5120病毒
- 感染類型:執行檔(.exe、.com)
- 表現:感染後檔案長度增加
病毒特點,病毒的運行,“5120”病毒的引入,“5120”病毒的傳染,病毒的檢測與消除,
病毒特點
受感染的.com和.exe檔案的長度分別增加5125和5120位元組,受感染程式再調入是,速度明顯減慢,但運行時速度無明顯變化,不感染command.com,為一種良性病毒,某些檔案不被感染,如Windows檔案,但由於病毒體較長,容易迅速占滿軟硬碟空間,而帶來不少麻煩。
病毒的運行
“5120”病毒的引入
- 運行帶病毒檔案。
- 如是.com則轉3;如是.exe檔案,則恢復源程式的一些參數:SS、SP、CS、IP,轉3。
- 調用終端21H,功能號ACACH,如果AX返回AC30H,則表明病毒已駐記憶體,轉5,否則轉4。
- 修改中斷21H,將病毒以此檔案為名駐留記憶體,駐留長度為5120位元組。
- 執行程式原始碼
“5120”病毒的傳染
- “5120”病毒駐留記憶體後,執行檔案;
- 如是.com檔案,檢查是否感染,若無則在其檔案末尾增加5120位元組的病毒體,並寫回磁碟,轉4;
- 如是.exe檔案,檢查是否感染,若無則在其檔案末尾增加5120位元組的病毒體,並修改檔案頭的第2-3,4-5,0eh-0fh,10h-11h,14h-15h,16h-17h(從0開始計數),其中第2-5表示執行程式的實際長度,修改後增加5120,第0eh-11h,14h-17h,分比為該執行程式的入口的SS,SP,IP,CS值,這4個值被寫在病毒體第53-60位元組處(既帶病毒檔案倒數第5050-5057位元組),在將頭部第12h-15h位元組改為{0x93,0x19,0x10,0x00},然後將檔案寫回磁碟;
- 執行該程式。
病毒的檢測與消除
- 檢查記憶體。只需要調用INT 21H功能ACACH,若AC返回AC30H,則病毒已經入記憶體。因“5120”病毒不感染command.com,故開機不運行帶病毒檔案,“5120”病毒便不會進入記憶體。
- 靜態檢查執行檔。用PCTOOLS(或其他PC工具)查特徵代碼{0xeb,0x79,0x90,0x00,0x01},若查到,則可能已中毒。
- 消除。對.com檔案只需要在檔案頭部切除5125位元組即可;對.exe檔案,則先將文頭的幾個參數修改,在切除檔案末尾5120位元組即可;對記憶體病毒,只需要去掉autoexec.bat,然後系統復位即可。
