● [合集]请问这个是什么病毒啊:W32.Valla.2048 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: sweetman (Love Library), 信区: Virus
标  题: [合集]请问这个是什么病毒啊:W32.Valla.2048
发信站: 荔园晨风BBS站 (Mon Oct 20 12:48:38 2003), 站内信件

tATu (I am less 于Fri Oct 17 20:20:40 2003提到：

  求教各位高手啊...用什么软件杀比较好啊?~~~

gordonlot (非典型病毒) 于Fri Oct 17 21:15:00 2003提到：

zgr (aa) 于Fri Oct 17 21:16:04 2003提到：

劳拉(Win32.Xorala)病毒详细解决方案

警惕程度：★★★★☆

发作时间：随机

病毒类型：系统病毒

传播方式：文件/网络

感染对象：PE格式文件

依赖系统: WIN9X//NT/2000/XP

病毒别名：W32.Valla.2048（Norton）、W32/Valla.b(Mcafee)

病毒的详细讲解（以下大部分内容适用于所有的系统类病毒）：

一、该病毒是系统类病毒。

瑞星的命名规则是WIN32平台的系统类病毒的病毒名前缀为：“W32”或“Win32”
,DOS的系统类病毒是没有病毒名前缀的。系统类病毒就是可以感染系统文件（或可
执行文件/或PE格式文件）的病毒，在DOS操作系统下就是感染.EXE、.COM等类型的
文件，在WINDOWS平台下就是感染.EXE、.DLL等类型的文件。

二、该病毒只感染文件。

　　只感染文件的意思是，该病毒本身没有独立的病毒体，它只是一段代码，它需
要一个宿主文件做为自己的寄生体，这种特性非常类似于自然界的病毒。当这类病
毒感染文件时，往往是将自身的代码植入被感染文件的体内，一般有四种方式：一
是植入被感染文件的尾部，然后修改文件的程序入口指针，指之指向尾部的病毒体
，这样，被感染文件运行时就会先执行病毒代码。二是植入被感染文件的中部，同
样是修改程序入口指针，使之指向病毒代码。三是植入被感染文件的头部，这样不
用修改程序入口指针，被感染文件运行时会直接执行病毒代码。四就是CIH病毒使
用的方法，将病毒代码分散存储到被感染文件的各个节中，这样被感染文件将不会
变大。

　　“劳拉”病毒就是将自己放入被感染文件的尾部，准确地说，它不是利用将自
身代码植入最后一个文件节（节是WINDOWS文件格式中的特定术语，是文件存储的
逻辑的单位，每个节都有不同的作用，如代码节中存储的是程序的代码，数据节存
储是程序的数据）,然后将“节”扩大的通用感染方法，而在被感染文件尾部重新
建一个新节，该节的名字是：“XOR”，节的内容是：

-= XOR 2009 Valhalla =- Assembled 1997 ..

Activated 07.2002 - devoted for peace and harmony in universe against
war,racism, terrorism and cruel brutality .. Remember .. Life is the
most important thing - not money .. It's time for a revolution NOW

　　这种节的信息，一般的用户是无法看到的，需要借助一些查看文件结构的工具
才能看到。但对于一般用户来说，即使是看到该节也是没有用的，因为系统类病毒
是靠修改程序的入口指针来运行的，因此在将病毒节摘除的同时还需要将程序的入
口指针改回，有时还需要重新计算程序的校验和，因此手工清除该病毒几乎不可能
。

三、该病毒的感染步骤。

系统病毒的一般是通过用户点击第一个带毒的程序文件开始的。当用户点击该程序
文件后，隐藏在程序文件体内的病毒代码则最先得到执行，它执行后便会驻留内存
，在内存中开辟一块空间，该空间在关机前是不会被其它程序覆盖的，然后病毒就
会监控文件的操作，一旦有读文件的操作，病毒便取得控制权，然后将自身代码加
入另一个程序文件的体内，完成一次感染。

而病毒为了增加其隐蔽性，一般会在内存中放一个互斥量，避免病毒重复进入内存
，而在被感染的目标文件体内放一个感染变量，以保证只感染目标文件一次。这样
病毒的每一次感染，用户几乎是无法查觉的。

四、该病毒会使大量占用资源，使系统变慢。

　　一般的系统病毒是不会造成系统变慢的，因为编写这类病毒的目的就是能大面
积的感染而不被用户觉察，因此这类病毒只感染目标程序一次，也只进行进入内存
一次。而劳拉病毒的编写时有缺陷，每一被感染的程序文件启动时，病毒就会被激
活一次然后感染其它程序文件，由于WINDOWS系统同时运行的可程序文件数以千计
，导致大量感染了该病毒的系统会变得异常缓慢。

病毒的详细解决方案：

一、用瑞星杀毒软件2003最新版清除该病毒。

从产品与技术角度来讲，瑞星2003版由于集成了“共享杀毒”功能，该功能是瑞星
独有的专利技术，意思是在WINDOWS环境下，象EXPLORER这样的被系统利用的文件
，用户是无法手工删除的，删除时系统会提示该文件正在被使用，无法删除的信息
，即使在这种情况下，如果该文件感染了病毒，瑞星杀毒软件2003版也可将该文件
中的病毒清除掉，而无需重启计算机或到DOS环境下进行杀毒。

因此，只要将瑞星杀毒软件2003版升级到最新版就可以在WINDOWS环境下彻底清除
该病毒，而不用到安全模式或在DOS下杀毒。

注意：如果有些病毒瑞星报出却清除不掉，则有可能是瑞星病毒查杀代码有一些问
题，一般用户再等一、两个版本就可以了。

二、为了保险起见，最好扫描两次系统。

　　任何一款杀毒软件都有漏报的问题，这其中可能是因为实时监控与文件扫描引
擎之间存在着同步问题，因此为了保证用户系统的安全，当用瑞星最新版清除完病
毒后，再扫描一下系统，看是否还有病毒存在。

三、打开实时监控。

在清除病毒的同时打开实时监控，或直接打开实时监控然后再进行病毒的清除，是
正确的杀毒方法，因为有许多的病毒都有网络特性，当你的计算机连网时，即使是
完全清除了您计算机上的病毒，但随着网络的连通，病毒仍然会沿着网线继续进入
到您的计算机中，造成清除完病毒后还有的现象。

而实时监控则解决了这一问题，实时监控可以随时监控本系统的文件，一旦发现有
病毒闯入，则会直接将病毒拦截。

瑞星2003版的内存监控尤为重要。它是直接监控内存，也是瑞星独有的专利技术。
由于有些病毒不形成文件，只在内存之间进行传播，象“红色代码”病毒，这时文
件监控就失效，而内存监控则能很好地拦截该类型的病毒。

因此，打开实时监控是必要的。

huallan (争气) 于Fri Oct 17 23:17:54 2003提到：

去rising下个专杀软件，去安全式下杀。多杀两次。。

sweetman (Love Library) 于Sat Oct 18 16:10:58 2003提到：

CTRL +G  388

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店