病毒名称: Wrom.Win32.Anilogo.b
病毒类型: 感染式蠕虫
文件 MD5: D4BC853EA0191A909EDDC894B744BBF0
危害等级: 高
文件长度: 1,142,914字节
感染系统: Windows 2000,Windows XP,Windows 2003
病毒描述:
该病毒属于感染式,被感染的样本在宿主的尾部添加一个节用来保存病毒代码,修改入口点为病毒的代码起始位置 。
行为分析:
本地行为:感染本地的可执行文件,不感染系统文件夹下的文件
注:%System32%是一个可变路径 。病毒通过查询操作系统来决定当前System文件夹的位置 。Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32 。
%Temp% = C:Documents and SettingsAAAAALocal SettingsTemp 当前用户TEMP缓存变量
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% = C: 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
清除方案:
从最后一个节(.ani)的偏移0x04h处取出宿主的原始入口点EntryOfPoint
删除文件最后一个节(节名称是.ani)
删除最后一个节的节表(.ani)
修正SizeOfImage
【Wrom.Win32.Anilogo.b蠕虫清除办法】修正节数目=原节数目-1
推荐阅读
- 尝试简单易用新方法 清除顽固病毒和程序
- 如何清除正在运行的EXE、DLL病毒
- ntfs.dll病毒ntfs.dll木马清除办法
- 怎么清除蟑螂
- 若格式化都无效 如何清除”不可杀“病毒?
- 病毒、蠕虫与木马之间的差别
- 教你如何清除RM文件中的恶意弹出广告
- “随机8位数字”病毒手动清除办法及建议
- 8749流氓软件完全清除方案
- 针对插入式木马的清除方法