“邹小朋爱邹琪”Word文档病毒修复

朋友U盘感染了病毒,文档都被杀毒软件kill了。数据恢复后打开都是乱码,让我帮忙看下。 于是对U盘进行了数据恢复,在恢复的文件中发现每个word文档都多了一个一样大的同名exe文件,而原doc文件打开后显示乱码,执行exe文件可以正常打开doc文件。应该是病毒对文档进行了修改,exe文件的功能则是逆向修改并打开。 用编辑器打开word文档,发现第一行有几个可读字符“邹小朋爱邹琪”,估计是哪个恶作剧的病毒留下的。百度之,果然是这种病毒。 此类病毒会篡改用户电脑后缀名为doc的word文档的DOC头,同时隐藏原始doc文件,并且创建一个同名的exe来启动被篡改以后的doc文档。这个exe会在内存中修复doc头,因此使用这个exe文件加载的doc文档可以正常显示内容。一旦病毒体被安全软件查杀,此时用户打开doc文档会发现是乱码,当然可以正常显示出来的内容是“邹小朋爱邹琪” 知道了原因就好办了。新建一个word文档,随便写几个字。用winhex打开正常文档和损坏文档对比发现文件头里,前十二个字节有差异。