标题“1167”病毒分析与清除

　　一、该病毒特点：
　　1.在可执行文件被感染后，长度增长1167--1182字节。
　　2.“1167”病毒在内存驻留后，传染力不强，只在运行执行文件时才感染。
　　3.病毒发作时，若硬盘存，将封锁键盘，同时格式化硬盘。
　　4.此病毒驻留内存高端，使基本内存减少2K，修改DOS的21号中断的内容，重新设置AX=E7DD，用来判定该病毒是否在内存，若在，则AX=DDE7，接管4B00执行功能，并在此功能中置取系统日期，若时间12月2日(此时间还可能改变)时，在执行时发作。
　　二、病毒的检测：(用DEBUG)
　　DEBUG↓
　　-A100↓
　　XXXX:100 MOV AX，E7DD↓
　　XXXX:103 INT 21↓
　　XXXX:105 INT 3↓
　　XXXX:106↓
　　-G=100↓
　　若AX=DDE7则内存已有该病毒。
　　三、病毒的清除：
　　经分析，已感染的文件长度都大于1167(48fh)字节。在文件到数048fh处为病毒的特征字为8C C8 05；在到数480h处若为4D 5A则为被感染的.EXE文件，否则为.COM文件。对于.COM文件，原文件前面的0bh字节放在到数480h处，将其写回，文件长度减48fh即可；对.EXE文件，原文件头的几个重要参数放在到数0168h处的4个字(8个字节)，此四个字要别是原头文件的0eh(ss).10h(ip).16h(cs)，文件长中的页面以及页面余量也要作相应的调整，然后文件长度减048fh即可。
　　该程序能自动搜索指定盘或指定路径下的子目录，在取消过程MEMCHECK的情况下，可带毒在TURB0 PASCAL 5.5下编译。经多次应用，效果比较好。
　　需具体程序者可与重庆师范学院数学系91级任和雷联系。