漂亮女孩病毒的诊治

Author: 山东王江民 Date: 1993-03-12

        该病毒保留了磁盘BOOT中的I/O参数表和出错信息，所以粗略查看磁盘BOOT区，容易被毒蒙混过关。用SCAN3.1、CPAV均查不出该病毒，SCAN89报告是一种“Generic BOOT区病毒”。解毒软件KILL43、CPAV1009、CLEAN80都不能解除该病毒。CLEAN89能解除硬盘中的该病毒，但是用该软件解毒后，换上的是IBM-DOS主引导程序，如果我们的硬盘装的是MS-DOS系统，那么用CLEAN89解毒后硬盘不能启动。在解除软盘上的病毒时，如果当初软盘不是用DOS系统中的FORMAT格式化的，比如是用PCTOOLS格式化的，那么CLEAN89就不能解除该病毒。
        一、漂亮女孩病毒的特征及危害。
        1、若用染毒软盘启动机器(虽然软盘上无DOS的三个启动文件)，病毒则抢在系统自举前感染硬盘，修改硬盘1面0柱1扇区中的DOS引导程序，并将该扇区原有的全部内容和病毒主程序一起复制到硬盘某一空闲簇中，然后在FAT表相应部位写上标记，以免其它文件的覆盖。
        如这时我们对其它软盘进行读写，病毒也以同样方式将软盘感染。
        2、染毒硬盘或软盘引导系统时，病毒程序将0：413地址处的内存总量减少2K，再将自身潜藏于内存，病毒在内存共有两处，其首址分别为9000：FA00H和9000：FE00H。
        3、病毒感染标志为C8C3H，位于硬盘1面0柱1扇区2AH处，位于软盘0面0道1扇区2AH处。
        4、在染毒的浪潮机中，联想智能汉字系统一运行便死机。
        二、漂亮女孩病毒的检测。
        1、要检测内存是否有漂亮女孩病毒，可用DEBUG查看内存9000：FA00H或9000：FE00H开始处是否有以下十六进制码“0E5803C58E”。
        2、要检测软盘或硬盘是否感染漂亮女孩病毒，可用PCTOOLS查看磁盘BOOT区2AH处是否有病毒感染标志“C8C3H”。
        三、漂亮女孩病毒的清除。
        1、清除硬盘中的漂亮女孩病毒。
        可用与硬盘相同版本的无病毒系统软盘引导，然后SYS C：即可解除病毒。此外，还应将病毒占据的一个簇清理出来，即CHKDSK C：/F。
        2、清除软盘中的漂亮女孩病毒。
        用PCTOOLS工具将一个正常软盘的BOOT区信息，写到有病毒的软盘BOOT区(一定要区分360K、1.2M或1.44M)。