Win32.Idele.2060

2008-02-23 09:22:43来源：互联网阅读 ()

病毒名称: Win32.Idele.2060 类别：蠕虫病毒病毒资料：破坏方法：

PE格式的恶意程序。

这是感染PE格式exe文件的病毒，一旦感染，原文件被彻底破坏，不能恢复。

一、该病毒破坏文件的导入表。

原程序对Kernel32.dll的引用函数表，被破坏为仅仅引用一个函数“GlobalAlloc”。

病毒使用该函数分配内存。

病毒破坏原程序导入表其他函数的地址，指向病毒代码模块。该模块位于某个节的末尾空闲区域。

二、当原程序进行API调用时，跳入病毒模块。病毒使用GlobalAlloc”申请0xA00字节内存把病毒代码拷贝过去，解密后跳过去运行。病毒代码采用查找kernel32.dll导出表的方式初始化API地址。创建一个线程继续感染其他文件。

三、病毒感染标记是在文件偏移0x12的地方两个字节是 “TI” 即0x5449。

四、病毒覆盖文件最后一个节，并改名为“.Pdata”.
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2003-12-19

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有