Tpvo/3783 病毒的分析和防治

日期：2008年2月19日作者：清风网络学院查看:[大字体中字体小字体]

病毒介绍:

　 TPVO/3783 病毒是一种传染性、隐蔽性都很强的病毒，它的独到之处是可以传染 WINDOWS 文件，使病毒可以在　WINDOWS　执行时驻留内存。
　该病毒传染硬盘、软盘引导区及 WINDOWS、DOS 可执行程序，包括.EXE.COM.OVL.386 等等文件，不传染带覆盖的文件，程序被传染后长度增加 3783 字节，文件日期被
加上 100 年作为传染标记。
　该病毒驻留内存后，用 DIR 命令看不出文件长度的变化，用 INT 13H　读出的磁盘引导记录是正常的，而不是带毒的引导记录，用应用程序读出的带毒文件也都是正常的，
但是由 ARJ、PKZIP、RAR、LHA、BACKUP、MSBACKUP、TELIX　七个程序读出的文件却是带毒的，所以被这些压缩程序压进文件包或用 TELIX　通过调制解调器传到其他地方的文件
是带毒的，由此可见该病毒在隐藏和传播上的用心良苦。
　该病毒在传染硬盘主引导区时隐藏于 0 柱面 0 头 5 扇区，传染软盘引导区时隐藏于新格式化的第 81 个磁道，传染文件时附在文件尾部，病毒本身不加密。
当带毒的 WINDOWS 系统运行时，根目录中的虚拟内存文件 386SPART.PAR 属性会变成普通属性，用 DIR 命令可以列出。
病毒分析:

1. 驻留内存及截取中断

　该病毒采用修改内存控制块的方法来驻留内存，如果 UMB 存在，病毒会驻留在 UMB中，该病毒驻留内存后截取 INT 21H 和 INT 13H 中断，来完成对文件和引导区的传染，
在截取 INT 21H 时，该病毒采取了与众不同的方法。下面是 INT 21H 内部片断，在中断程序完成了初始化后，将 AH 中的功能号放在 BX 中再乘 2，再用查表的办法得到相应子
程序的地址，然后用近调用来执行相应子程序，具体见下：
　　．．．
　　FDC8:4198 8ADC　　　　MOV　BL,AH　　　　　；AH 为子功能号
　　FDC8:419A D1E3　　　　SHL　BX,1　　　　　　；放于 BX 中再乘 2
　　．．．
　　FDC8:41EA 2E8B9F9E3E　MOV　BX,CS:[BX+3E9E] ；3E9E 为各功能地址表的基地址
　　FDC8:41EF 36871EEA05　XCHG BX,SS:[05EA]　　；调用地址在 05EA 中
　　FDC8:41F4 368E1EEC05　MOV　DS,SS:[05EC]
　　FDC8:41F9 36FF16EA05　CALL SS:[05EA]　　　；调用相应功能的子程序
　　．．．
病毒在驻留时先截取 INT 2AH，在 INT 2AH 中检测到使用的堆栈为 MSDOS.SYS 堆栈段时，表示中断由 INT 21H 发出，这时由中断返回地址得到 MSDOS.SYS 程序段的段地址，
再查找以上几句指令并将 CALL SS:[05EA] 改为 CALL XXXX:053D 指向病毒代码，在完成修改、传染等功能后再转向原来的 INT 21H 执行。由于这一段代码在 INT 21H 的第一百
多句以后，当使用 DOS=HIGH 参数启动时这一段代码被移到 HMA 中，所以该病毒的截取手段有很大的欺骗性，不但能骗过几乎所有内存监视程序，而且即使用手工反汇编 INT
21H中断程序都不一定能觉察到异常之处。
　在截取 INT 13H 时，病毒先使用未公开中断 INT 2FH 的 1300H 功能来得到 DOS 内部设备驱动程序使用的原始 INT 13H 地址，然后在　BIOS　中随机寻找一个中断号大于
E0H 号的INT XX代码，将这个中断向量指向病毒的 INT 13H服务程序，然后将 DOS 保存的原始INT 13H 地址改成指向 BIOS 中的 INT XX 指令，使得在不同的计算机中指向病毒