病毒名稱： Wrom.Win32.Anilogo.b

　　病毒類型： 感染式蠕蟲(chóng)

　　文件 MD5： D4BC853EA0191A909EDDC894B744BBF0

　　危害等級(jí)： 高

　　文件長(zhǎng)度： 1,142,914字節(jié)

　　感染系統(tǒng)： Windows 2000，Windows XP,Windows 2003

　　病毒描述：

　　該病毒屬于感染式，被感染的樣本在宿主的尾部添加一個(gè)節(jié)用來(lái)保存病毒代碼，修改入口點(diǎn)為病毒的代碼起始位置。

　　行為分析：

　　本地行為：感染本地的可執(zhí)行文件，不感染系統(tǒng)文件夾下的文件

　　注：%System32%是一個(gè)可變路徑。病毒通過(guò)查詢操作系統(tǒng)來(lái)決定當(dāng)前System文件夾的位置。Windows2000/NT中默認(rèn)的安裝路徑是C:\Winnt\System32，windows95/98/me中默認(rèn)的安裝路徑是C:\Windows\System，windowsXP中默認(rèn)的安裝路徑是C:\Windows\System32。

　　%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 當(dāng)前用戶TEMP緩存變量

　　%Windir%\ WINDODWS所在目錄

　　%DriveLetter%\ 邏輯驅(qū)動(dòng)器根目錄

　　%ProgramFiles%\ 系統(tǒng)程序默認(rèn)安裝目錄

　　%HomeDrive% = C:\ 當(dāng)前啟動(dòng)的系統(tǒng)的所在分區(qū)

　　%Documents and Settings%\ 當(dāng)前用戶文檔根目錄

　　清除方案：

　　從最后一個(gè)節(jié)(.ani)的偏移0x04h處取出宿主的原始入口點(diǎn)EntryOfPoint

　　刪除文件最后一個(gè)節(jié)(節(jié)名稱是.ani)

　　刪除最后一個(gè)節(jié)的節(jié)表(.ani)

　　修正SizeOfImage

　　修正節(jié)數(shù)目=原節(jié)數(shù)目-1