关于在光驱盘:\DIRECTX7\
病毒名: PE_Marburg.8590
是什么病毒?如何杀除?的问题
PE_Marburg的神祕面?
作者:??菘萍肌£?清芳
?按:繼上(1420)期?榭d「PolyPos文件巨集病毒自?影l送文
件至新????^」一文後,咸感病毒之肆虐與?o所不在,特此,再
邀得?文作者再就近期?衢T之?腦病毒續作介紹,以提醒讀者注意
?K加??防範。
前言
¯¯
今年六月?r,一隻藉著FTP?樯⒉ネ?降腃IH病毒彷如腸病毒般蔓
延,其?衢T的下載程式包括:Windows 98 Service Pack及ICQ中文
化程式等都被下毒,尤其,在美?⑷毡尽⒋箨?亦都?鞒?乐氐??
情,因而一?r之間造成使用者的一?驚慌,?缀趺刻於加猩习偃嗽?
網路上??貼相關?息,奔相走告,?K??下?翁??0萬人上網解毒的
景?r。
所謂「解毒不如防毒」,?然?腦病毒仍是防不?俜溃贿^,如
果您曾??v過CIH這隻?iT感染32-bit的PE?绦?n的?腦病毒的肆虐
,那麼?断挛闹泄P者要介紹的這一隻同?獒???2位元可?绦?n??
主要感染?ο蟮腗arburg千面人病毒,亦不可掉以輕心!
以下?樽x者揭開 Marburg 這隻千面人病毒的神秘面?。
什麼是千面人病毒?
¯¯¯¯¯¯¯¯
勤看?笳码s誌的讀者而言,?肚嫒讼露镜??录欢ú?
陌生!即歹徒在?料或食物中下毒,再藉此跟?S商勒索鉅額的款?
,由於被勒索的?S商?o法得知哪些食品已遭下毒,因此,在?嘲滴?
明的狀?r下,要逮住千面人也就不是一件??蔚氖铝恕?
在資??腦界,亦有?此的狀?r!
千面人病毒(Polymorphic/Mutation Virus)?名思義,就是它
的感染手法有千百種面貌,且它可怕的地方,在於每?它??繁殖一
次,就?圆煌牟《敬a再?魅镜?e的地方,也因此,在每一??中
毒的?n案中,所含的病毒碼都不一?樱@?吨?呙韫潭ú《敬a的
防毒?體?碚f,?o疑是一???乐氐目简?!例如Whale病毒依附於。
COM
?n?r,?缀?o法找到相同的病毒碼;而Flip病毒?t只有2 byte的共
同病毒碼(像戴面具?r只出???眼睛一般),十分??。
在瞭解千面人病毒的大約特性之後,我???砜纯碢E_Marburg這隻
千面人病毒到底隱藏著什麼?拥奈?C與面貌!
PE_Marburg千面人病毒小?n案
¯¯¯¯¯¯¯¯¯¯¯¯¯
病毒名稱:PE_MARBURG
? 型:千面人病毒(?iT感染32位元(PE)可?绦?n)
感染目?耍含F行目?、Windows目?及Windows System等三??目?
下的所有32位元的。
EXE及。SCR?n案。
平 台:Win 95/Win 98
????性:?o
病毒長度:約8K
症 狀:Marburg病毒在被感染三??月後才?l作,若感染
Marburg病毒的?密?體?绦械?r間??好和最初感染
的?r間一?樱ɡ纾卸?r間是9月15日上午11點,
若??贸淌皆?2月15日上午11點再次被行),?t
MARBURG病毒毒就?谀奈?幕上顯示出如?D一的?
面。
Marburg 感染源起
¯¯¯¯¯¯¯¯
Marburg病毒首次意外地出現在今年7月?英?盤C遊?蛘摺彪s誌
(PC Gamer Magazine)所附?的封面光碟,其中有3???n案遭受感染
,包含:\UTILS\XEARTH\XEARTH。
EXE、 \UTILS\QPAINT\QPAINT。EXE
以及\VIDEO\SMACKPLW。EXE。?消費者?绦蠸MACKPLW程式,?z?光碟
?鹊碾???介?r,即???绦?Marburg 。不幸的是,以英?妗?
PC 遊?蛘摺彪s誌所附光碟?槟钙?貉u的其他?艺Z言版本光碟,??
乎也都受到感染。
以瑞典版光碟?槔涓腥镜?n案??
\SHARE\3DJONG\M3DJONGG。EXE、 \PATCHAR\QUAKE2\Q2-315~8。EXE和
\SPEL\KKND2\DIRECTX\DDHELP。EXE,而斯拉維尼??版感染的?n案?t
和英?嬉?印?
另外,今年8月,這隻病毒也同?映霈F在澳洲”PC??力遊?蛲扑]”
雜誌(PC Power Play)光碟裡,其感染Marburg病毒的?n案有
\GAMES\MAX2\MAX2BETA。
EXE和MES\STARTREK\FURYDEMO。EXE。目前坊
間最盛行的MGM/EA?腦光碟遊?颉?馉?遊?颉梗蚱渲杏幸???n案
意外地感染Marburg病毒,而在今年八月迅速?U散。台?衬壳耙延性?
此病毒感染之?那?鞒觯壳暗母腥景咐?K未?I限在這一?的?
體。
Marburg的多?面貌
¯¯¯¯¯¯¯¯¯
這是一隻???2位元作?I系統的PE?n案型式新病毒「PE_Marburg
」千面人病毒,近日在全球?衢T遊?蜍?體間?U散開?恚伸兑话??
統的?啥痉绞?K?o法清除此一病毒,且更令人?n心的是Marburg???
去?h除某些防毒?體。
通常在感染PE_Marburg病毒後的三??月,使
用者的”桌面”上即?霈F一堆任意排序的”X”符?(即如?D一)。
Marburg是隻感染Windows 95/98的千面人病毒,Win32?贸淌剑?
*。
EXE)及?幕保護程式(*。SRC)都是它覬覦的目?耍疫\的是,
它?K?o法在Windows NT上?绦小?
由於Marburg?凫蹲?化多端的”千面人”病毒,它?逯}雜的加
密程序錯?y?碼,也意味著每?它感染其他的寄主程式?r,每一次
所產生的病毒碼都不一?樱?鹘y依照病毒碼?φ兆ザ镜姆蓝拒?
體很難逮到它。
?病毒原始碼?群琜Marburg Virus BioCoded by
GriYo/29A]字串,這隻Marburg千面病毒的引擎技術非常先進,它利
用好?追N不同的方法,如用8位元、16位元及32位元的關鍵值(Key
)?⒉《颈旧砑用埽移湓诮饷艿倪^程中非常地?慢。
Marburg病毒
只有在被?绦?r才?腥酒渌?n案,這表示它不?qv在???體。
?感染的程式一旦開始?绦校琈arburg病毒即?腥粳F行目?、
Windows目?及Windows System等三??目?下的所有32位元的。
EXE及
。SCR?n案。
值得注意的是,Marburg病毒??h除好???防毒?體的重要?n案,
包括ANTI-VIR。DAT、CHKLIST。MS、AVP。CRC、IVB。NTZ等。另外,??
避免??舆@些防毒?體的自行?z查程序,Marburg同?r也避免感染許
多以”V”開頭的?绦?n以及以PAND、F-PR、SCAN等字串開頭的?绦?
?n的知名防毒?體。
在此一?闾嵝咽褂谜叩氖牵渌???2位元可?绦?n病毒(也就
是所謂的PE格式病毒),除前述CIH、Marburg外,尚包括Boza、
PE_Net。666等(?下表),?使用者?毡匦⌒姆拦牎?
——————————————————–
病毒名稱 發現日 主要事?
——————————————————–
Boza 1996。
2 Win 95第一隻病毒
PE_Net。666 1998。5 吃過”?事本”,連誅連?網路?C密資料
CIH 1998。6 每月26日Format HD,流?鞴??V
泛包含美、日、台、大?
Cabanas 1998。
8 第一隻Windows NT?腦病毒
Marburg 1998。8 ?凫督苹那嫒瞬《荆???h除
防毒?體。
——————————————————–
結?
¯¯
由於現在???2位元作?I系統的病毒程式越?碓蕉嗔? 程式設?
難度高的障礙也?u?u消除了,?槊忪对馐躆ARBURG下毒,不?是
Win95、Win98、或Win NT的使用者,都要小心這?病毒程式的侵襲
,?K最好及?r以防毒?體?呙槟愕挠驳悦赓Y料被?А?
筆者在此亦建議使用者?囵B使用正版的?体?K養成定期或定?r
?呙栌驳牧??T,同?r?队?E-mail ?鬟M?淼?n案,或是
Internet/BBS下載下?淼?n案,必?先?呙?o毒再使用,如此一??
,不?H可以避免自己的?腦遭受病毒的感染,也可以防止病毒的再
度流?鳌?
。
