病毒介绍:

　 TPVO/3783 病毒是一种传染性、隐蔽性都很强的病毒，它的独到之处是可以传染 WINDOWS 文件，使病毒可以在　WINDOWS　执行时驻留内存。
　该病毒传染硬盘、软盘引导区及 WINDOWS、DOS 可执行程序，包括.EXE.COM.OVL.386 等等文件，不传染带覆盖的文件，程序被传染后长度增加 3783 字节，文件日期被
加上 100 年作为传染标记。
　该病毒驻留内存后，用 DIR 命令看不出文件长度的变化，用 INT 13H　读出的磁盘引导记录是正常的，而不是带毒的引导记录，用应用程序读出的带毒文件也都是正常的，
但是由 ARJ、PKZIP、RAR、LHA、BACKUP、MSBACKUP、TELIX　七个程序读出的文件却是带毒的，所以被这些压缩程序压进文件包或用 TELIX　通过调制解调器传到其他地方的文件
是带毒的，由此可见该病毒在隐藏和传播上的用心良苦。
　该病毒在传染硬盘主引导区时隐藏于 0 柱面 0 头 5 扇区，传染软盘引导区时隐藏于新格式化的第 81 个磁道，传染文件时附在文件尾部，病毒本身不加密。
当带毒的 WINDOWS 系统运行时，根目录中的虚拟内存文件 386SPART.PAR 属性会变成普通属性，用 DIR 命令可以列出。
病毒分析:

1. 驻留内存及截取中断

　该病毒采用修改内存控制块的方法来驻留内存，如果 UMB 存在，病毒会驻留在 UMB中，该病毒驻留内存后截取 INT 21H 和 INT 13H 中断，来完成对文件和引导区的传染，
在截取 INT 21H 时，该病毒采取了与众不同的方法。下面是 INT 21H 内部片断，在中断程序完成了初始化后，将 AH 中的功能号放在 BX 中再乘 2，再用查表的办法得到相应子
程序的地址，然后用近调用来执行相应子程序，具体见下：
　　．．．
　　FDC8:4198 8ADC　　　　MOV　BL,AH　　　　　；AH 为子功能号
　　FDC8:419A D1E3　　　　SHL　BX,1　　　　　　；放于 BX 中再乘 2
　　．．．
　　FDC8:41EA 2E8B9F9E3E　MOV　BX,CS:[BX+3E9E] ；3E9E 为各功能地址表的基地址
　　FDC8:41EF 36871EEA05　XCHG BX,SS:[05EA]　　；调用地址在 05EA 中
　　FDC8:41F4 368E1EEC05　MOV　DS,SS:[05EC]
　　FDC8:41F9 36FF16EA05　CALL SS:[05EA]　　　；调用相应功能的子程序
　　．．．
病毒在驻留时先截取 INT 2AH，在 INT 2AH 中检测到使用的堆栈为 MSDOS.SYS 堆栈段时，表示中断由 INT 21H 发出，这时由中断返回地址得到 MSDOS.SYS 程序段的段地址，
再查找以上几句指令并将 CALL SS:[05EA] 改为 CALL XXXX:053D 指向病毒代码，在完成修改、传染等功能后再转向原来的 INT 21H 执行。由于这一段代码在 INT 21H 的第一百
多句以后，当使用 DOS=HIGH 参数启动时这一段代码被移到 HMA 中，所以该病毒的截取手段有很大的欺骗性，不但能骗过几乎所有内存监视程序，而且即使用手工反汇编 INT
21H中断程序都不一定能觉察到异常之处。
　在截取 INT 13H 时，病毒先使用未公开中断 INT 2FH 的 1300H 功能来得到 DOS 内部设备驱动程序使用的原始 INT 13H 地址，然后在　BIOS　中随机寻找一个中断号大于
E0H 号的INT XX代码，将这个中断向量指向病毒的 INT 13H服务程序，然后将 DOS 保存的原始INT 13H 地址改成指向 BIOS 中的 INT XX 指令，使得在不同的计算机中指向病毒
程序的中断向量号都不相同。

2. 传染及其他部分

　病毒截取 INT 13H 来传染磁盘的引导区，在进行普通的读写功能时，病毒并不传染，所以磁盘读写速度并不明显减慢，只有在对磁盘的引导区进行读写时，病毒才进行传染。
传染硬盘主引导区时，病毒隐藏在保留磁道 0 柱面 0 头第 5 扇区开始的 8 个扇区中，原引导记录被保存在 0 柱面 0 头第 13 扇区。一般软盘只有 80 个磁道，病毒在传染软
盘引导记录时，先格式化出一个第 81 磁道，再将自身隐藏于第 81 磁道 1 扇区开始的 8个扇区中，原引导记录被保存在第 81 磁道第 9 扇区。当有程序读取引导记录时，病
毒将原引导记录读出送回。
　病毒截取 INT 21H 来完成可执行文件的传染和一些欺骗功能，在 INT 21H 的 11H、12H、4EH、4FH 匹配文件寻找功能中，病毒返回正确的文件长度和时间，在 57H　读写文
件时间功能中，病毒返回正确的文件时间，在 3FH 读文件功能中，如果读到文件被修改的部分，病毒将返回正确的内容，在 40H 写文件功能中，如果写已被传染的文件，病毒
将文件复原，到以后关闭文件时重新传染。结果在应用软件看来，带毒文件没有任何异常之处。
　当执行 INT 21H 的 3DH 打开文件、3EH 关闭文件、43H 文件属性功能、56H 文件改名、4BH 执行文件时，病毒对文件进行传染，传染后病毒附于文件尾部，文件开始指针被

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] 下一页

上一篇:Windows新漏洞将任意用户提升到SYSTEM级别的权限的方法

下一篇:Burglar 病毒的分析和防治

Tpvo/3783 病毒的分析和防治相关文章：

·配置Catalyst交换端口分析器（SPAN）

·ORACLE常见错误代码的分析与解决之二

·电脑死机的故障分析

·统计分析Web服务器日志

·QQ号的木马病毒(Trojan/PSW.QQPass)_盗取QQ账号

·文晟扫描5. 0 之破解经过算法分析

Tpvo/3783 病毒的分析和防治相关软件：

·3D 动画与建模：人体的综合与分析技术

·Windows蠕虫病毒专杀定制工具 V0.0.6

·建设部监理师-案例分析录音16

·U盘病毒专杀工具(USBCleaner)V6.0 Build 20070812

·频谱分析仪V1.10

·属相分析大师 V1.0

·瑞星“墨菲（Trojan.Mofei）”病毒专杀工具 V1.4

·冲击波病毒专杀工具包 V 1.0

·瑞星“Zotob蠕虫(Worm.Zotob)”病毒专杀工具 V1.00

·“魔兽木马”病毒专杀 V3.0

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot