天高云淡

感染型病毒，使用汇编语言编写，病毒体的主要功能代码是加密的，运行时进行自解密。

1、病毒的自解密和反调试

病毒体偏移0×00处为解密代码，也是病毒体的入口点。病毒解密的时候，解密KEY(DWORD)保存在偏移0xC0处，解密大小为0×373，解密起始地址为病毒体偏移0xC8处。

病毒解密的每次循环都通过调用sdtsc指令获取时间戳，并同上一次时间戳相减，通过这种方法检测是否被调试，假如被调试导致循环的时间变大，将会导致解密错误，见下列代码：

00403053 sub eax,dword ptr ss:[ebp 9E] ;两次时间戳相减
00403059 jge short _596.0040305D
0040305B neg eax
0040305D sar eax,19 ;两次时间戳的差右移25位，正常执行肯定为0×0，
假如因调试变慢，将不为0
00403060 not eax ;取反，正常执行肯定为0xFFFFFFFF
00403062 xor edx,eax ;xor解密KEY，正常执行xor 0xFFFFFFFF，KEY不会变
00403064 xor dword ptr ds:[ebx],edx ;解密KEY解密代码

2、装载mpr.dll、修复被感染文件的入口，启动感染线程，回文件正常入口执行

解密后运行的病毒体代码首先通过LoadLibraryA加载mpr.dll，以便调用其API网络传播。

然后病毒修复被感染文件的入口，病毒感染文件时，将被感染文件的入口的0×10个字节代码复制，然后用病毒代码覆盖入口相同字节的代码。病毒将入口点的地址保存在病毒体偏移0xB43处，将原文件入口的0×10个字节的代码保存在病毒体偏移0xB33处。

然后病毒通过CreateThread启动感染线程，感染线程的地址是病毒体偏移0×15E处。

启动线程后，病毒主线程回到已修复的原入口点去正常执行文件。

3、感染线程

感染线程在病毒体偏移0×15E处。

感染线程首先将自己的线程优先级设为THREAD_PRIORITY_IDLE，以便在空闲时运行。

然后病毒通过GetLocalTime获得当前时间计算并保存一个非凡感染标志(byte，病毒体偏移0xB5A处)，标志为真的条件是：

(年数 > 2003) and ( (月 日) = = 15) and ( sdtsc返回值的最低3位都是0)

这个感染标志将决定后面的感染方式。

非凡感染标志为真时，病毒会对本地计算机文件进行破坏，但是这种可能性比较小。破坏的方式为：

（1） 通过MoveFileExA或写系统ini(window ME/98/95)的方式重启删除自己。

（2） 遍历所有文件，破坏PE文件的资源节并将入口改为死循环，对非PE文件重复写入0×863DA60Ch。

非凡感染标志为假时，病毒会感染特定目录下的所有PE文件。这些特定目录用以下方式进行选择：

（1）当前目录；

（2）然后获取系统环境变量中的”PATH”值；

（3）用时间戳作为随机值计算盘符，随机感染3个盘；

（4）通过调用系统mpr.dll中的WNetxx等函数感染局域网中的共享磁盘；

感染文件的方式为：

（1） 遍历文件时只对后缀名是”e?e”(?可以是任何字符)的PE文件进行感染。

（2） 感染文件时将被感染文件最后一个节增加0×1000字节，将病毒体写入，并修改入口点的0×10个字节，使其指向病毒体。

（3） 病毒写入病毒体时，使用时间戳获得随机值作为KEY对病毒体主要代码进行加密。

病毒在感染文件时，将不会对如下名称的文件进行感染：
‘avpcc.exe’,'avp32.exe’,avpexec.exe’,'avpinst.exe’,'drweb32w.exe’,
’spider.exe’,’spidernt.exe’,'avltmain.exe’, ‘apvxdwin.exe’,
‘pavproxy.exe’,'kbvbvcei.exe’, ‘ysofjdpq.exe’,'ntkrnlpa.exe’

4、其它

病毒体内留有”ALISA”,”SGWW Kiev’2001″字样，应该是作者留的信息。另外，病毒在感染时不进行检测被感染文件是否是系统文件，因此在感染后，极有可能导致系统崩溃。

安全建议：

1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件天天至少升级三次。

2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

3 不浏览不良网站，不随意下载安装可疑插件。

4 不接收QQ、MSN、Emial等传来的可疑文件。

5 上网时打开杀毒软件实时监控功能。

6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

瑞星杀毒软件清除办法：

安装瑞星杀毒软件，升级到19.42.42版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。

危险等级：★★★
病毒名称：Virus.Win32.Alisa.a
截获时间：2007-9-27
入库版本：19.42.42
类型：感染型病毒

感染的操作系统：Windows所有版本系统

威胁情况：

传播级别：高

全球化传播态势：低

清除难度：困难

破坏力：高

破坏手段：单纯感染文件