精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>电脑技术>>● 电脑病毒>>★请不要忘记KV逻辑炸弹★>>KV300病毒

主题:KV300病毒
发信人: kindboy()
整理人: jia(1998-08-12 12:47:46), 站内信件
    AV-CHINA已初步给出了清除"江民炸弹"的程序,烦请各站站长下载并放到各自
的站上,同时提醒各位中毒站友切勿底格硬盘,受袭击的硬盘还是可以恢复的.

AV-CHINA上的有关文章:

----------------------------------------------------------------------
  欢迎在不改动本文的前提下,广泛传播本文,以尽最大可能地减轻江民炸弹
对各个单位、个人和社会造成的危害与损失,并尽早将罪犯王江民缉拿归案、绳
之以法,彻底肃清软件产业的一个的公害。事实证明,一再手软和同情将为计算
机用户留下无限后患……               
                           ──中国毒岛论坛
----------------------------------------------------------------------
  
     对江民炸弹所破坏的硬盘数据的修复措施(6月30日修订)
     =================================================
  
  经过反汇编 KV300 L++,王江民在 KV300 L++中实施的破坏方法已经基本清
楚。经过破坏的硬盘数据只要中间没有经过其它不合适的修复或改动,那么数据
是可以恢复的。我们已经编写了一个工具程序 Debomb 1.0, 经过初步测试可以
在大多数 PC 环境中使用,该程序目前已经在我们的网点上公布出来让大家免费
下载。
  
  关于江民炸弹的来龙去脉详见我们的网页。本文叙述的方法至少适合于1997
年6月24日至28日在江民公司网点上下载的 KV300 L++。
  
   中国毒岛论坛
   http://av-china.base.org
   http://www.geocities.com/SiliconValley/Vista/8237
   [email protected]
  
  下面是修订过的硬盘修复办法,下面的过程对于不熟悉计算机的用户,最好
由计算机专家指导进行。此处的专家是真正意义上的专家,而不是带水分或仅仅
善于社会活动的侃家。
  
  
下载指南
========
  
  AV-China Debomb 1.0 在我们网点的下载页面中,地址是
http://www.geocities.com/SiliconValley/Vista/8237/download.htm
该软件即可单独下载,也包含在 MS-DOS 6.22k的磁盘映象中。
  
  
自动修复指南
============
  
  1,如果您的硬盘受到 KV300 的破坏,请首先保留您使用过的 KV300磁盘和
文件,并回忆时间、地点环境,来龙去脉等信息,书面写出遭受袭击的过程,以
便事后联合投诉和作证时,核实查证作为证据;
  
  我们建议(非强迫)您将您的受害过程连同您的真实身份、联系方法 E-mail
给我们,以获得支持和统计信息。我们会严格为您保密。在今后征得您的同意时
提交给有关部门作为执法的证据。请您打消顾虑,非商业使用未经作者允许的软
件复制品是合法的。另外,还包括很多误操作情况,都是很好的证据;
  
  2,不要进行硬盘低级格式化、高级格式化或直接进行 NDD 修复或其它无法
逆转的操作,否则数据将彻底无法恢复;
  
  3,从 我们的网点 http://www.geocities.com/SiliconValley/Vista/8237
的下载页里面找 MS-DOS 6.22K ,解压缩后用 HD-COPY恢复成软盘,该软盘可以
在正常 MS-DOS 无法启动计算机的情况下启动计算机。 MS-DOS 6.22k 是我们为
方便叙述而为修改后的 MS-DOS 6.22 起的别名。
  
  4,该软盘也包括了 Debomb 1.0,在 DOS 下运行 Debomb完成数据恢复,重
新启动计算机。如果顺利,修复工作即完成。 Debomb 在未经袭击或修复之后的
计算机上运行不会带来任何影响。
  
  我们只能保证 KV300 L++ 这个版本是这样破坏的,将来什么版本(我们假如
KV300 还有将来的话,因为历史常常是这样) 实施什么其它破坏方法不可能未卜
先知,因此,这个结果只适用于这次的修复。
  
  如果使用上述方法,无法用硬盘启动,但可以从软盘启动,并在启动后能够
操作C: (D:...),或您使用的是 Windows 95 且恢复数据后启动不正常,可以试
用相应版本的 “fdisk /mbr” 命令重建主引导记录。
  
Debomb 的说明
=============
  
  Debomb 适用于以标准 MS-DOS 初始分区(Primary DOS Patition) 为第一个
硬盘分区的情况。这也是绝大多数 PC 的情况。硬盘第一分区是 Unix 等非 DOS
分区的,Debomb 可能并不适合;
  
  一些 Compaq 计算机的分区很特殊,Debomb 可能也不适合;
  
  Debomb 运行失败不会带来无法恢复的负面后果。
  
  Debomb 1.0 适合于KV300 L++江民炸弹,不保证适合于将来 KV300可能具有
的其它逻辑炸弹、病毒、木马程序。
  
  Debomb 1.0 在 Windows 95 的 DOS Prompt中运行得不到正确信息。
对 Windows 95 OSR/2 FAT 32 的恢复没有验证。
  
  
可能出现的提示
==============
  
Error in reading harddisk. The harddisk may be unusable.
  读硬盘发生错误,硬盘可能损坏了。
Error in writing harddisk. The harddisk may be unusable.
  写硬盘发生错误,硬盘可能损坏了。
Error in Writing MBR. The harddisk may be unusable.
  写(硬盘)主引导记录错误,硬盘可能损坏了。
This computer may not being raped by WangJiangmin's KV300 L++.
  该计算机可能没有正在遭到王江民KV300 L++的袭击。
Error in Partition caculation. You have to repair the disk manually.
  分区计算错误,您只能使用手工恢复的方法。
Debomb Failed!
  清除炸弹失败!
Debomb Ok!
  清除炸弹成功!
WangJiangmin and his bomb has been unhoused out of your computer!
  王江民和他的炸弹已经被驱逐出您的计算机!
Try restart your computer, please.
  请重新启动计算机。
If you (still) have problem or questions, please post your message
to BBS in our web site or e-mail to AV-China.
  若(还)有什么问题请到我们网点BBS上发表出来或给AV-China 发电子邮件。
  
附录:手工恢复提示
==================
  
  这些恢复可以用手工进行, 也可以使用 AV-China Debomb 程序来进行,但
在不能意料的特殊情况下,如果使用Debomb 无法自动恢复数据, 则还必须使用
手工恢复方法;如果 Debomb 恢复失败,其影响不是不可逆的,还可以继续用手
工方法恢复。
  
  手工恢复可以使用 Norton 8.0 或 9.0 的 Diskedit.exe,前者还需要一个
NLIB200.RTL 文件。 Norton 8 的 Diskedit 可以从我们的网点上下载。也可以
制作一个 MS-DOS 6.22启动盘,然后用PCTOOLS 等工具改 IO.SYS  (40774字节)
查找 b9 01 00 cd 13,只有一处,改为 b9 10 00 cd 13。这就是所谓 MS-DOS
 6.22K 和普通 MS-DOS 的区别。
  
  KV300 L++ 将硬盘物理扇区 {柱,头,扇}的 {0,1,1}-{0,1,15} 和 {0,3,4}-
{0,3,18} 两处连续的各 15 扇区的每个字节加 1,并破坏硬盘主引导扇区MBR中
正常的分区的内容,并没有直接保存在其它地方。MBR 中正常的分区没有
直接保存在其它地方,您可以试着使用下面的方法之一:
  
  (1) 如果你幸运的话,在硬盘的第一柱面的其它扇区可能会有分区信息的备
份,特征是该扇区的 1BEh 处为 80 01,最后两个字节是 55 AA,中间的信息为
硬盘分区,可以用 F6 键以分区方式来观察确认。这个备份扇区的来源有可能是
KV300 先前版本在检查时保存的备份或是一些引导区病毒所做过的备份;
  
  (2) 无论您的硬盘是一个分区还是有基本分区 + 扩展 DOS 分区,主引导分
区的信息可以通过从硬盘引导记录或搜索等其它间接方法计算回来,但要慎重操
作,保留备份,以免无法恢复;
  
  如果使用上述(1)(2)方法,那么在硬盘分区表修复之后,可以在软盘上执行
fdisk /mbr重建主引导记录,以建立引导程序或防止刚才拷贝的那部分含有病毒。
用正常的 MS-DOS 5/6.22 或 7.0 软盘启动计算机(应该可以启动起来了),然后
用 Scandisk 看看是否有遗漏。最后试从硬盘启动。


--
※ 来源:·Netease BBS nease2.gznet.com·[FROM: gw.gznet.com]

[关闭][返回]