Tpvo-3783病毒的分析和防治.docVIP

　　Tpvo/3783 病毒的分析和防治～教育资源库 　　病毒介绍: 　　TPVO/3783 病毒是一种传染性、隐蔽性都很强的病毒，它的独到之处是可以传染 SBACKUP、TELIX 七个程序读出的文件却是带毒的，所以被这些压缩程序压进文件包或用 TELIX 通过调制解调器传到其他地方的文件 是带毒的，由此可见该病毒在隐藏和传播上的用心良苦。 　　该病毒在传染硬盘主引导区时隐藏于 0 柱面 0 头 5 扇区，传染软盘引导区时隐藏于新格式化的第 81 个磁道，传染文件时附在文件尾部，病毒本身不加密。 当带毒的 B 存在，病毒会驻留在 UMB中，该病毒驻留内存后截取 INT 21H 和 INT 13H 中断，来完成对文件和引导区的传染， 在截取 INT 21H 时，该病毒采取了与众不同的方法。下面是 INT 21H 内部片断，在中断程序完成了初始化后，将 AH 中的功能号放在 BX 中再乘 2，再用查表的办法得到相应子 程序的地址，然后用近调用来执行相应子程序，具体见下： 　　 ．．． 　　 FDC8:4198 8ADC　　　　MOV　BL,AH　　　　　 ；AH 为子功能号 　　 FDC8:419A D1E3　　　　SHL　BX,1　　　　　　；放于 BX 中再乘 2 　　 ．．． 　　 FDC8:41EA 2E8B9F9E3E　MOV　BX,CS:[BX+3E9E] 　　　　　　　　　　　　　　　　　；3E9E 为各功能地址表的基地址 　　 FDC8:41EF 36871EEA05　XCHG BX,SS:[05EA]　　；调用地址在 05EA 中 　　 FDC8:41F4 368E1EEC05　MOV　DS,SS:[05EC] 　　 FDC8:41F9 36FF16EA05　CALL SS:[05EA]　　　 ；调用相应功能的子程序．．．　　病毒在驻留时先截取 INT 2AH，在 INT 2AH 中检测到使用的堆栈为 MSDOS.SYS 堆栈段时，表示中断由 INT 21H 发出，这时由中断返回地址得到 MSDOS.SYS 程序段的段地址， 再查找以上几句指令并将 CALL SS:[05EA] 改为 CALL XXXX:053D 指向病毒代码，在完成修改、传染等功能后再转向原来的 INT 21H 执行。由于这一段代码在 INT 21H 的第一百 多句以后，当使用 DOS=HIGH 参数启动时这一段代码被移到 HMA 中， 所以该病毒的截取手段有很大的欺骗性，不但能骗过几乎所有内存监视程序，而且即使用手工反汇编 INT 21H中断程序都不一定能觉察到异常之处。 　　在截取 INT 13H 时，病毒先使用未公开中断 INT 2FH 的 1300H 功能来得到 DOS 内部设备驱动程序使用的原始 INT 13H 地址，然后在 BIOS 中随机寻找一个中断号大于 E0H 号的INT XX代码，将这个中断向量指向病毒的 INT 13H服务程序，然后将 DOS 保存的原始INT 13H 地址改成指向 BIOS 中的 INT XX 指令，使得在不同的计算机中指向病毒 程序的中断向量号都不相同。 2. 传染及其他部分 　　病毒截取 INT 13H 来传染磁盘的引导区，在进行普通的读写功能时，病毒并不传染，所以磁盘读写速度并不明显减慢，只有在对磁盘的引导区进行读写时，病毒才进行传染。 传染硬盘主引导区时，病毒隐藏在保留磁道 0 柱面 0 头第 5 扇区开始的 8 个扇区中，原引导记录被保存在 0 柱面 0 头第 13 扇区。一般软盘只有 80 个磁道，病毒在传染软 盘引导记录时，先格式化出一个第 81 磁道，再将自身隐藏于第 81 磁道 1 扇区开始的 8个扇区中，原引导记录被保存在第 81 磁道第 9 扇区。当有程序读取引导记录时， 病 毒将原引导记录读出送回。 　　病毒截取 INT 21H 来完成可执行文件的传染和一些欺骗功能，在 INT 21H 的 11H、12H、4EH、4FH 匹配文件寻找功能中，病毒返回正确的文件长度和时间，在 57H 读写文 件时间功能中，病毒返回正确的文件时间，在 3FH 读文件功能中， 如果读到文件被修改的部分，病毒将返回正确的内容，在 40H 写文件功能中，如果写已被传染的文件， 病毒 将文件复原，到以后关闭文件时重新传染。结果在应用软件看来，带毒文件没有任何异常之处。lt;／pgt; 　　当执行 INT 21H 的 3DH 打开文件、3EH 关闭文件、43H 文件属性功能、56H 文件改名、4BH 执行文件时，病毒对文件进行传染，传染后病毒附于文件尾部，文件开始指针被 指向病毒入口处。对于. 文件，病毒将文件第一句指令改为 JMP XXXX 跳转到病毒入口处，对于普通