病毒通缉令 第9.04号

病毒名称：

秘密党员病毒（国际标准命名：Win95/Crypto.21280，WINDOWS 系统下API补丁函数病毒）。

病毒特征：

当一个染毒的EXE 文件运行时，病毒将在Windows目录下生成KERNEL32.DLL文件的带毒副本，且修改 WININIT.INI 文件，以便再次启动系统时，病毒可以替代Windows System目录下的KERNEL32.DLL文件。从此每次计算机启动，病毒感染20个可执行文件。

病毒发作：

Win32/Crypto 病毒加密DLL（动态链接）文件，且在 Windows API（SR2/NT）函数访问该动态链接文件时自动解密，所以，如果病毒被移走，这个DLL（动态链接）文件残体是加密的且不能再被访问了。

病毒现象：

该病毒在感染宿主文件时，使用了多态引擎进行加密，该引擎还有大量的解密层(typically 69)。解密引擎不知道密钥，要用brute force 运算法则去解密这个DLL文件。使用这种运算规则意味着解密时间将非常长，系统速度变慢。

病毒传播：

主要通过修改 WINDOWS 95/98/NT/2000操作系统下Windows API（SR2/NT）函数入口传播，每当可执行文件进行操作时（如访问动态链接文件），首先便会被病毒感染。

病毒防范：

使用经过国际多家权威机构认证具备全平台、多方位实时反毒系统功能，确保NT/2000系统安全的反病毒软件，并及时到WWW.KILL.COM.CN或KILL授权服务中心拷贝最新升级文件.