Win32.Bolzano是一種病毒,影響Win9x/WinMe/WinNT/Win2000系統。
基本介紹
- 中文名:Win32.Bolzano
- 威脅級別:★★
- 中文名稱:波爾扎諾
- 病毒類型:Win32病毒
- 影響系統:Win9x/WinMe/WinNT/Win2000
基本信息,系統修改,發作現象,特別說明,
基本信息
病毒別名:
處理時間:
病毒行為:
編寫工具:
傳染條件:
發作條件:
系統修改
⒈設定檔案%SystemDrive%NTLDR的屬性為歸檔,如果該檔案中存在一個長度為5個位元組的串3B,46,58,74,07,也就是下面的代碼:
cmp eax,[esi+58h]
jz label (註:label表示一標號)
則用3B,46,58,EB,07這5個位元組來替換之
也就是下面的代碼:
cmp eax,[esi+58h]
jmp label (註:label表示一標號)
⒉
設定檔案%System%toskrnl.exe為歸檔
如果該檔案中存在一個長度為9個位元組的串8A,C3,5F,5E,5B,5D,C2,28,00也就是下面的代碼:
mov al,bl
pop edi
pop esi
pop ebx
pop ebp
retn 28h
則用B0,01,5F,5E,5B,5D,C2,20,00這9個位元組來替換之也就是下面的代碼:
mov al,1
pop edi
pop esi
pop ebx
pop ebp
retn 28h
⒊在\%SystemRoot%Cookies目錄下查找檔案pgoat80.EXE,如果找到就刪除
⒋創建一個感染執行緒
⒌判斷從C到Z驅動器的類型,如果驅動器可用並且不是移動磁碟和光碟機則遍歷該驅動器,查找符合感染條件的PE格式的EXE檔案和rcs檔案.感染的時候,該病毒是將宿主程式的最後一個節擴大1000H個位元組,並將病毒體寫入到這塊擴展的空間內修改宿主程式的入口地址為最後一個節末尾的下一個位元組,也就是從病毒體的第一條指令開始執行下面是病毒體開始執行處的部分代碼:
.reloc:0040B200 push offset loc_401000
.reloc:0040B205 pusha
.reloc:0040B206 call sub_40B7E5 ---------->;病毒重定位
.reloc:0040B20B mov eax,[esp+24h]
.reloc:0040B20F cmp eax,80000000h
.reloc:0040B214 ja short loc_40B224
.reloc:0040B216 xchg eax,ecx
.reloc:0040B217 xchg eax,ecx
.reloc:0040B218 mov esi,7AAh
.reloc:0040B21D mov edi,77F00000h
.reloc:0040B222 jmp short loc_40B22E
發作現象
⒈該病毒在記憶體中搜尋某個API函式地址的時候,如果搜尋不到它會彈出一個訊息框並結束運行該訊息框的標題是:"SOPHOS PE GOAT",內容是:"Sophos PE Goat - Size 32768",請見附圖Win32.Bolzano.jpg
⒉檔案尺寸無緣無故的變大了
特別說明
⒈當出現17點中的第1種現象的時候,該病毒並沒有啟動感染執行緒
⒉該病毒的感染條件比較苛刻,運行多次都沒有得到感染樣本感染條件有:
必須是PE格式的EXE檔案或RSC檔案用檔案的時間作為參數進行某種運算,運算結果必須與某個值相等檔案的尺寸不能小於16384位元組檔案DOS塊跟PE檔案頭的距離不大於300h