消除TRAVELLER病毒的简便方法

Author: 周 红 Date: 1993-12-03

        1、检查和清除EXE后缀文件的TRAVELLER病毒。
        首先用无病毒的DOS系统盘启动机器,调用PCTOOLS程序将有TRAVELLER病毒的程序盘指定为当前驱动器。当光标指向被查的EXE后缀文件时,按E命令对该文件进行编辑。按F2键将被查文件的扇区指向文件的最后扇区数,然后向前查找。当屏幕右边的ASCII字符区显示有 traveller (c) BUPT IE 1991.4 DON' t panic,I'm harmless 字样时,这说明被查文件已感染病毒。Traveller病毒程序将它自己附加到原文件的最后三个扇区,并将EXE后缀文件的文件头加以修改,以便调用文件时首先执行病毒程序。然后病毒程序再将原文件标题头的部分参数还原。并转向原程序执行。这时病毒程序已将它自己驻留机器内存最高区域,以便读写盘时感染其它未补感染病毒的程序。
        根据该病毒还原文件参数的特点,我们就可以设法将原文件的参数找到,填回原文件参数位置,这样就使得病毒程序不起作用。经过对病毒程序的分析查找,我们得到了病毒程序存放原文件参数的位置。
        如前面所说,当发现有TRAVELLER病毒提示字符后,在文件的最后三个扇区内向前查找。如果屏幕的ASCII字符区显示有*.COM.EXE字符串时,原文件头中的参数就放在前一行中的07H至0EH位置。然后将07H到0AH位置的数据填回文件头的14H到17H的位置,0BH到0EH位置的数据填回文件头的0EH到11H位置后存盘。这样就完成了恢复原文件的参数。
        2、COM后缀文件的Travelle病毒检查和清除
        TRAVLLER病毒对COM后缀文件的感染也同EXE后缀文件的方法,病毒替换了文件的某些参数。同前面讲的方法一样,在文件的最后三个文件扇区中发现*.*COM.EXE字符串后,紧接该字符串后的三个字节数据就是原文件头的数据。将这三个字节数据依次填回文件首的前三个字节后,原文件就被恢复。(周红)