[原创] 威金病毒其实很好分辨

原帖由 村民 于 2006-10-31 14:05 发表
重复不重复，不用分析代码，直接就能看得见。

我给不少染毒机清理过程中，发现不少文件感染了这个病毒，但是杀过1次之后(注意是杀毒，而不是删除)，第2次再查杀发现还是有毒，并且运行该文件之后，机器立即又被 ...

这种交叉感染的情况还真没遇到过，那个人也够厉害，同时中多个变种。可能杀毒软件制作者也不容易想到，即使想到了，也要在所有变种都能清除的情况下才能彻底还原文件，这就更加大了病毒清除的难度。

原帖由 iNPRwANG 于 2006-10-31 08:21 发表
稍微分析了下病毒感染的文件，发现只不过在原可执行文件(PE)头部加了一段代码，

也就是说，原可执行文件被埋在文件底部了，这给了我们还原原可执行文件的可能。

这段代码的作用是释放原可执行文件到 C:\Win ...

没有这么简单，病毒对exe文件的尾部也更改增加了代码