PE格式的恶意程序。
这是感染PE格式exe文件的病毒,一旦感染,原文件被彻底破坏,不能恢复。
一、该病毒破坏文件的导入表。
原程序对Kernel32.dll的引用函数表,被破坏为仅仅引用一个函数“GlobalAlloc”。
病毒使用该函数分配内存。
病毒破坏原程序导入表其他函数的地址,指向病毒代码模块。该模块位于某个节的末尾空闲区域。
二、 当原程序进行API调用时,跳入病毒模块。病毒使用GlobalAlloc”申请0xA00字节内存 把病毒代码拷贝过去,解密后跳过去运行。病毒代码采用查找kernel32.dll导出表的方式初始化API地址。创建一个线程继续感染其他文件。
三、 病毒感染标记是在文件偏移0x12的地方 两个字节是 “TI” 即0x5449。
四、病毒覆盖文件最后一个节,并改名为“.Pdata”.
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-12-19
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
