Macro.Word97.betray是一種病毒,
KAV 先採用 AVP 的方法,將使用同一明碼的病毒當作一個病毒來看待。以後可以針對這一類病毒的解碼方法編寫
特定的接口,將其解碼,然後查毒。
基本介紹
- 中文名:Macro.Word97.betray
- 性質:病毒
- 威脅級別::★
- 病毒類型::宏病毒
病毒別名:
處理時間:
威脅級別:★
中文名稱:
病毒類型:宏病毒
影響系統:
病毒行為:
1. 運行時解碼從第 11 行到最後一行,產生 Document_Close。
2. 關閉宏病毒防護。當前日期為 1 時,則創建 C:Autorun.inf 檔案,無任何提示刪除 C: 上所有檔案。
3. 創建 C:Betray.ini 檔案,內容為病毒代碼。
Macro.Word97.betray
// 這是一個明碼與 Word97Macro.Antisocial 完全一樣的病毒,但其解碼後操作完全不一樣。而密文內容又是隨機的,不能
作為特徵碼。
// AVP 的做法是將兩者等同起來,當作一個病毒來處理。
// NAV 能夠檢查出前者,不能檢查出後者。
// PC-cillin 套用啟發式搜尋對明碼進行分析,結果顯而易見,未發現病毒(明碼是一段無任何病毒行為的代碼)。
// RingSing 可以查出這是兩個不同的病毒,不知它採用了什麼方法。
// 建議:KAV 先採用 AVP 的方法,將使用同一明碼的病毒當作一個病毒來看待。以後可以針對這一類病毒的解碼方法編寫
特定的接口,將其解碼,然後查毒。
