COM.Div.725

病毒别名：

处理时间：

威胁级别：★

中文名称：

病毒类型：未知

影响系统：DOS

病毒行为:

<暂缺>

编写工具:汇编

传染条件:<无>

发作条件:<无>

系统修改:

A. 病毒程序运行后，会感染当前目录的所有COM文件，感染过程如下：

(1) 查找当前目录下的所有COM文件，

(2) 找到一个后，将文件前面31h字节读入内存中代码段偏移036Eh处(位于第二节)。

(3) 先检查是否可感染：

a) 不是MZ文件，

b) 没有感染过(判断前2字节是不是 33 C0：xor ax, ax)，

c) 文件大小在400h到FB4h之间

(4) 没有感染过，在病毒体第一节(31h bytes)中偏移(2Dh)处写入原始文件大小+38Dh(DW)，然后用第一节覆盖文件头。

(5) 将原始文件100h起1A7h个字节复制到文件尾部

(6) 将原始文件300h起0E0h个字节复制到文件尾部

(7) 将病毒第四节(48h字节)复制到文件尾部

(8) 将病毒第二节(1A7h字节)加密后写入到文件100h处

(9) 将病毒第三节(0E0h字节)写入到文件300h处

B. 文件感染完成后，修改int 21h中断并驻留。

(1) 先调用 int 21h, ax=0BABAh，如果病毒已经驻留，会返回AX=0FACCh，

(2) 没有驻留的话，修改程序MCB给自己留一块空间出来，并修改中断向量表中int21h的入口指向病毒提供的向量。

(3) 驻留的病毒对ax=0BABAh(病毒驻留检查)及ah=4bh(运行程序)进行处理。但远行程序的处理中，什么也没做，怪事。

发作现象:

<无>

特别说明:

这个病毒会将自己分成多段写入到文件，并且还会对自身进行加密处理。