概述
病毒別名:
處理時間:
威脅級別:★★
中文名稱:波爾扎諾
病毒類型:Win32病毒
影響系統:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒行為:
編寫工具:
傳染條件:
發作條件:
系統修改:
1.
設定檔案%SystemDrive%NTLDR的屬性為歸檔
如果該檔案中存在一個長度為5個位元組的串3B,46,58,74,07
也就是下面的代碼:
cmp eax, 【esi+58h】
jz label (注:label表示一標號)
則用3B,46,58,EB,07這5個位元組來替換之
也就是下面的代碼:
cmp eax, 【esi+58h】
jmp label (注:label表示一標號)
2.
設定檔案%System%
toskrnl.exe為歸檔
如果該檔案中存在一個長度為9個位元組的串8A,C3,5F,5E,5B,5D,C2,28,00
也就是下面的代碼:
mov al, bl
pop edi
pop esi
pop ebx
pop ebp
retn 28h
則用B0,01,5F,5E,5B,5D,C2,20,00這9個位元組來替換之
也就是下面的代碼:
mov al, 1
pop edi
pop esi
pop ebx
pop ebp
retn 28h
3.
在\%SystemRoot%Cookies目錄下查找檔案pgoat80.EXE,如果找到就刪除
4.
創建一個感染執行緒
5.
判斷從C到Z驅動器的類型,如果驅動器可用並且不是移動磁碟和光碟機則遍歷該驅動器,查找符合感染條件的PE格式的
EXE檔案和rcs檔案.感染的時候,該病毒是將宿主程式的最後一個節擴大1000H個位元組,並將病毒體寫入到這塊擴展的空間內
修改宿主程式的入口地址為最後一個節末尾的下一個位元組,也就是從病毒體的第一條指令開始執行
下面是病毒體開始執行處的部分代碼:
.reloc:0040B200 push offset loc_401000
.reloc:0040B205 pusha
.reloc:0040B206 call sub_40B7E5 ---------->病毒重定位
.reloc:0040B20B mov eax, 【esp+24h】
.reloc:0040B20F cmp eax, 80000000h
.reloc:0040B214 ja short loc_40B224
.reloc:0040B216 XCHG eax, ecx
.reloc:0040B217 xchg eax, ecx
.reloc:0040B218 mov esi, 7AAh
.reloc:0040B21D mov edi, 77F00000h
.reloc:0040B222 jmp short loc_40B22E
發作現象:
1.
該病毒在記憶體中搜尋某個API函式地址的時候,如果搜尋不到它會彈出一個訊息框並結束運行
該訊息框的標題是:"SOPHOS PE GOAT",內容是:"Sophos PE Goat - Size 32768",請見附圖Win32.Bolzano.jpg
2.
檔案尺寸無緣無故的變大了
特別說明:
1.
當出現17點中的第1種現象的時候,該病毒並沒有啟動感染執行緒
2.
該病毒的感染條件比較苛刻,運行多次都沒有得到感染樣本
感染條件有:
必須是PE格式的EXE檔案或RSC檔案
用檔案的時間作為參數進行某種運算,運算結果必須與某個值相等
檔案的尺寸不能小於16384位元組
檔案DOS塊跟PE檔案頭的距離不大於300h
3.
該病毒是採用遞歸的方式查找可感染檔案的,為了不引起死循環,該病毒不遍歷當前目錄
