5120病毒属于外壳型病毒,只感染可执行文件.exe、.com,不感染dos文件。可执行文件感染病毒后,.exe文件增长5120字节、.com文件感染后增长5125字节,因此将其命名为“5120”病毒1。
病毒特点受感染的.com和.exe文件的长度分别增加5125和5120字节,受感染程序再调入是,速度明显减慢,但运行时速度无明显变化,不感染command.com,为一种良性病毒,某些文件不被感染,如Windows文件,但由于病毒体较长,容易迅速占满软硬盘空间,而带来不少麻烦。
病毒的运行“5120”病毒的引入运行带病毒文件。
如是.com则转3;如是.exe文件,则恢复源程序的一些参数:SS、SP、CS、IP,转3。
调用终端21H,功能号ACACH,如果AX返回AC30H,则表明病毒已驻内存,转5,否则转4。
修改中断21H,将病毒以此文件为名驻留内存,驻留长度为5120字节。
执行程序源代码
“5120”病毒的传染“5120”病毒驻留内存后,执行文件;
如是.com文件,检查是否感染,若无则在其文件末尾增加5120字节的病毒体,并写回磁盘,转4;
如是.exe文件,检查是否感染,若无则在其文件末尾增加5120字节的病毒体,并修改文件头的第2-3,4-5,0eh-0fh,10h-11h,14h-15h,16h-17h(从0开始计数),其中第2-5表示执行程序的实际长度,修改后增加5120,第0eh-11h,14h-17h,分比为该执行程序的入口的SS,SP,IP,CS值,这4个值被写在病毒体第53-60字节处(既带病毒文件倒数第5050-5057字节),在将头部第12h-15h字节改为{0x93,0x19,0x10,0x00},然后将文件写回磁盘;
执行该程序。
病毒的检测与消除检查内存。只需要调用INT 21H功能ACACH,若AC返回AC30H,则病毒已经入内存。因“5120”病毒不感染command.com,故开机不运行带病毒文件,“5120”病毒便不会进入内存。
静态检查可执行文件。用PCTOOLS(或其他PC工具)查特征代码{0xeb,0x79,0x90,0x00,0x01},若查到,则可能已中毒。
消除。对.com文件只需要在文件头部切除5125字节即可;对.exe文件,则先将文头的几个参数修改,在切除文件末尾5120字节即可;对内存病毒,只需要去掉autoexec.bat,然后系统复位即可。
本词条内容贡献者为:
王慧维 - 副研究员 - 西南大学