冠群金辰捕获可侵入Windows 2000的病毒

【ChinaByte 综合消息】近日，冠群金辰全球病毒监测网捕获 到一种名为：Win32/Crypto的病毒。此病毒能够感染 Windows95、98、2000 和 Windows NT系统。由于其感染范围 广泛，并能够造成系统意外错误，所以，冠群金辰特提醒广大 用户注意防范，KILL98用户可及时升级病毒版本，从而做好病 毒预防工作。当前，KILL98最新病毒库版本为：V7.67。

　　 当一个染毒的EXE 文件运行，此病毒将在Windows目录下 生成KERNEL32.DLL文件的带毒副本，且修改 以下WININIT.INI 文件：[Rename] NUL=C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\KERNEL32.DLL=C:\WINDOWS\KERNEL32.DLL 从而使得用户再次启动系统时，病毒便能够替代Windows System目录下的KERNEL32.DLL文件。另外，Win32/Crypto 病 毒会删除以下的反病毒数据库文件：AVP.CRC, IVP.NTZ, ANTI-VIR.DAT, CHKLIST.MS, CHKLIST.CPS, SMARTCHK.MS, SMARTCHK.CPS, AGUARD.DAT, AVGQT.DAT and LGUARD.VPS。

　　 该病毒在 KERNEL32 文件中没有加密，病毒代码放在文 件的最后部分，病毒体的长度为21280字节。Windows系统内核 是由系统 API 函数补丁文件感染的，但是因为该病毒代码内 有BUG，经常感染失败。

　　 每一次计算机启动都会使 Win32/Crypto 病毒感染20个 可执行文件，且病毒也会在压缩文件中存在(.ZIP, .ARJ, .RAR, .ACE, .CAB)。

　　 Win32/Crypto 病毒加密了一个DLL（动态链接）文件， 且在 Windows API（SR2/NT）函数访问该动态链接文件时自动 解密。如果病毒被移走，这个DLL（动态链接）文件残体仍会 处于加密状态，而不能再被访问，形成病毒残体。

　　 该病毒在感染宿主文件时，使用了多态引擎进行加密， 该引擎还有大量的解密层(typically 69)。解密引擎不知道密 钥，要用brute force 运算法则去解密这个DLL文件。使用这 种运算规则意味着解密时间将非常长。该引擎稳定，且能产生 不断繁殖的副本。