68瀑布病毒 瀑布病毒又名雨点病毒,它是一种专门攻 击c0m文件的文件型病毒,对感染的病毒 不重复感染。 受感染的文件其大小增加1701字节,一些 演化体为1704字节,1701/1704病毒由此而 来。 该病毒发作时锁死键盘,屏幕上字符如同 瀑布般的一个个脱落到屏幕底部,并发出 响声,瀑布病毒和雨点病毒由此得名
6.8 瀑布病毒 瀑布病毒又名雨点病毒,它是一种专门攻 击.com文件的文件型病毒,对感染的病毒 不重复感染。 受感染的文件其大小增加1701字节,一些 演化体为1704字节,1701/1704病毒由此而 来。 该病毒发作时锁死键盘,屏幕上字符如同 瀑布般的一个个脱落到屏幕底部,并发出 响声,瀑布病毒和雨点病毒由此得名
该病毒与通常的文件型病毒相比有如下 特殊之处: (1)它采用了一个数据加密算法,从而难于 被检测。 (2)表现破坏模块采取了一个复杂的激活方 式。该算法涉及到许多参数,如计时器 的计数值、键盘状态、硬盘数据、打印 机参数、机器类型、监视器类型、有无 时钟卡以及系统日期等。 目前瀑布病毒的各种演化体主要在增大 的字节数和激活方式上作了变化
该病毒与通常的文件型病毒相比有如下 特殊之处: (1)它采用了一个数据加密算法,从而难于 被检测。 (2)表现/破坏模块采取了一个复杂的激活方 式。该算法涉及到许多参数,如计时器 的计数值、键盘状态、硬盘数据、打印 机参数、机器类型、监视器类型、有无 时钟卡以及系统日期等。 目前瀑布病毒的各种演化体主要在增大 的字节数和激活方式上作了变化
6.81瀑布病毒的工作原理 瀑布病毒由引导模块、传染模块和表现 模块组成。 运行带毒文件时,首先执行的是病毒的引导模 块,以后传染模块由INT21H的4B功能调用激 活,而表现模块由时钟中断INT1C激活 引导模块执行后,病毒先进行自我解密,恢复 原文件(宿主文件),然后判断内存中是否已 有瀑布病毒,若有则执行宿主文件; 否则将病毒程序引入内存高端,修改INT21H 使之指向病毒传染块,修改INT1CH使之指向 病毒表现块, 然后再执行正常文件
6.8.1瀑布病毒的工作原理 瀑布病毒由引导模块、传染模块和表现 模块组成。 运行带毒文件时,首先执行的是病毒的引导模 块,以后传染模块由INT 21H 的4B功能调用激 活,而表现模块由时钟中断INT 1C激活。 引导模块执行后,病毒先进行自我解密,恢复 原文件(宿主文件),然后判断内存中是否已 有瀑布病毒,若有则执行宿主文件; 否则将病毒程序引入内存高端,修改INT 21H 使之指向病毒传染块,修改INT 1CH使之指向 病毒表现块, 然后再执行正常文件
在加载运行文件时,若是INT21H的4BH 功能调用,则判断是否com文件且文件长 度小于63803字节, 如果符合就接着判断是否已感染瀑布病毒 如果没有感染,就把文件的前三字节放在 病毒程序的数据区,然后加密包括正常文 件前三字节在内的病毒程序,再把加密后 的内容链接到该文件的尾部,并把原文件 的前三个字节改为一条跳转到病毒引导程 序的指令, 最后执行原INT2IH的4BH功能调用
在加载运行文件时,若是INT 21H的4BH 功能调用,则判断是否.com文件且文件长 度小于63803字节, 如果符合就接着判断是否已感染瀑布病毒 如果没有感染,就把文件的前三字节放在 病毒程序的数据区,然后加密包括正常文 件前三字节在内的病毒程序,再把加密后 的内容链接到该文件的尾部,并把原文件 的前三个字节改为一条跳转到病毒引导程 序的指令, 最后执行原INT 21H的4BH功能调用
瀑布病毒只感染com文件,但对command.com文 件也传染。 瀑布病毒在传染过程中对受传染的com文件时间 不予修改,而且对写保护盘不作判断,所以在执 行写保护软盘中的文件时出现写磁盘错误 病毒程序的表现模块是通过INT1CH调用执行的 当内部计数器计数到一定数值时则执行表现程序 此时键盘被封锁,显示器为文本方式时,屏幕上 方的字符似瀑布般地散落在屏幕下方并逐渐堆积 起来,直到所有字符都落下来为止,才允许键盘 输入, 但在操作一段时间,满足触发条件又会表现
瀑布病毒只感染.com文件,但对command.com文 件也传染。 瀑布病毒在传染过程中对受传染的.com文件时间 不予修改,而且对写保护盘不作判断,所以在执 行写保护软盘中的文件时出现写磁盘错误 病毒程序的表现模块是通过INT 1CH调用执行的 当内部计数器计数到一定数值时则执行表现程序, 此时键盘被封锁,显示器为文本方式时,屏幕上 方的字符似瀑布般地散落在屏幕下方并逐渐堆积 起来,直到所有字符都落下来为止,才允许键盘 输入, 但在操作一段时间,满足触发条件又会表现