新世纪病毒的发现与清除

Author: 西南铝加工厂 张建勇 Date: 1992-05-15

        一、如何发现新世纪病毒
        1、如果在文件中发现“YaQi”等关键字,文件中就一定有新世纪病毒。
        2、病毒的头两条指令是:
        E8  FD  00  CALL 病毒偏移+100H
        E8  FA  01  CALL 病毒偏移+200H
        3、在硬盘分区表中有:“New Cerntry of computer Now!”。
        4、ah赋54H,bx赋9064H,调用DOS功能,返回ax为9064H,则内存有病毒。
        二、如何清除新世纪病毒
        1、清除硬盘分区表内病毒,只需调物理第二扇区内容覆盖第一扇区即可。
        2、清除COM文件中的病毒时,如程序前为E9H的,取后一个字加3即得原程序长度。此字+89H所得偏移处的五个字节为原程序头五个字节。
        3、EXE程序中病毒的清除。病毒程序偏移6CH为原程序长度低字节,6EH为原程序长度高字节;病毒程序后偏移64H是CS值,偏移66H为IP值,偏移68H放SSW值,偏移64H放SP值。
        根据以上说明,用户即可删除此病毒。