“艾丽莎”病毒技术细节

源代码网整理以下危险等级：★★★
病毒名称：Virus.Win32.Alisa.a
截获时间：2007-9-27
入库版本：19.42.42
类型：感染型病毒

源代码网整理以下感染的操作系统：Windows所有版本系统

源代码网整理以下威胁情况：

源代码网整理以下传播级别：高

源代码网整理以下全球化传播态势：低

源代码网整理以下清除难度：困难

源代码网整理以下破坏力：高

源代码网整理以下破坏手段：单纯感染文件

源代码网整理以下 

源代码网整理以下感染型病毒，使用汇编语言编写，病毒体的主要功能代码是加密的，运行时进行自解密。

源代码网整理以下    1、病毒的自解密和反调试

源代码网整理以下    病毒体偏移0x00处为解密代码，也是病毒体的入口点。病毒解密的时候，解密KEY(DWORD)保存在偏移0xC0处，解密大小为0x373，解密起始地址为病毒体偏移0xC8处。

源代码网整理以下    病毒解密的每次循环都通过调用sdtsc指令获取时间戳，并同上一次时间戳相减，通过这种方法检测是否被调试，如果被调试导致循环的时间变大，将会导致解密错误，见下列代码：

源代码网整理以下00403053    sub eax,dword ptr ss:[ebp+9E]   ;两次时间戳相减
00403059    jge short _596.0040305D
0040305B    neg eax
0040305D    sar eax,19       ;两次时间戳的差右移25位，正常执行肯定为0x0，
                    如果因调试变慢，将不为0
00403060    not eax          ;取反，正常执行肯定为0xFFFFFFFF
00403062    xor edx,eax      ;xor解密KEY，正常执行xor 0xFFFFFFFF，KEY不会变
00403064    xor dword ptr ds:[ebx],edx    ;解密KEY解密代码

源代码网整理以下    2、装载mpr.dll、修复被感染文件的入口，启动感染线程，回文件正常入口执行

源代码网整理以下    解密后运行的病毒体代码首先通过LoadLibraryA加载mpr.dll，以便调用其API网络传播。

源代码网整理以下    然后病毒修复被感染文件的入口，病毒感染文件时，将被感染文件的入口的0x10个字节代码复制，然后用病毒代码覆盖入口相同字节的代码。病毒将入口点的地址保存在病毒体偏移0xB43处，将原文件入口的0x10个字节的代码保存在病毒体偏移0xB33处。

源代码网整理以下    然后病毒通过CreateThread启动感染线程，感染线程的地址是病毒体偏移0x15E处。

源代码网整理以下    启动线程后，病毒主线程回到已修复的原入口点去正常执行文件。

源代码网整理以下    3、感染线程

源代码网整理以下    感染线程在病毒体偏移0x15E处。

源代码网整理以下    感染线程首先将自己的线程优先级设为THREAD_PRIORITY_IDLE，以便在空闲时运行。

源代码网整理以下    然后病毒通过GetLocalTime获得当前时间计算并保存一个特殊感染标志(byte，病毒体偏移0xB5A处)，标志为真的条件是：

源代码网整理以下     (年数 > 2003) and ( (月+ 日) = = 15) and ( sdtsc返回值的最低3位都是0)

源代码网整理以下    这个感染标志将决定后面的感染方式。

源代码网整理以下    特殊感染标志为真时，病毒会对本地计算机文件进行破坏，但是这种可能性比较小。破坏的方式为：

源代码网整理以下    （1） 通过MoveFileExA或写系统ini(window ME/98/95)的方式重启删除自己。

源代码网整理以下    （2） 遍历所有文件，破坏PE文件的资源节并将入口改为死循环，对非PE文件重复写入0x863DA60Ch。

源代码网整理以下    特殊感染标志为假时，病毒会感染特定目录下的所有PE文件。这些特定目录用以下方式进行选择：

源代码网整理以下    （1）当前目录；

源代码网整理以下    （2）然后获取系统环境变量中的"PATH"值；

源代码网整理以下    （3）用时间戳作为随机值计算盘符，随机感染3个盘；

源代码网整理以下    （4）通过调用系统mpr.dll中的WNetxx等函数感染局域网中的共享磁盘；

源代码网整理以下    感染文件的方式为：

源代码网整理以下    （1） 遍历文件时只对后缀名是"e?e"(?可以是任何字符)的PE文件进行感染。

源代码网整理以下    （2） 感染文件时将被感染文件最后一个节增加0x1000字节，将病毒体写入，并修改入口点的0x10个字节，使其指向病毒体。

源代码网整理以下    （3） 病毒写入病毒体时，使用时间戳获得随机值作为KEY对病毒体主要代码进行加密。

源代码网整理以下    病毒在感染文件时，将不会对如下名称的文件进行感染：   
"avpcc.exe","avp32.exe",avpexec.exe","avpinst.exe","drweb32w.exe",
"spider.exe","spidernt.exe","avltmain.exe",  "apvxdwin.exe",
"pavproxy.exe","kbvbvcei.exe",  "ysofjdpq.exe","ntkrnlpa.exe"

源代码网整理以下    4、其它

源代码网整理以下    病毒体内留有"ALISA","SGWW Kiev"2001"字样，应该是作者留的信息。另外，病毒在感染时不进行检测被感染文件是否是系统文件，因此在感染后，极有可能导致系统崩溃。

源代码网整理以下
安全建议：

源代码网整理以下    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

源代码网整理以下    2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

源代码网整理以下    3 不浏览不良网站，不随意下载安装可疑插件。

源代码网整理以下    4 不接收QQ、MSN、Emial等传来的可疑文件。

源代码网整理以下    5 上网时打开杀毒软件实时监控功能。

源代码网整理以下    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

源代码网整理以下清除办法：

源代码网整理以下    瑞星杀毒软件清除办法：

源代码网整理以下    安装瑞星杀毒软件，升级到19.42.42版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。