病毒分析报告与求助（可删，可重命名，但拒绝访问）

最初发现这个病毒是在某一个U盘上，当U盘插入电脑的时候，我就发现了这病毒的存在，
因为有分析病毒的习惯，所以想把它拷到自己的电脑里面。
但是我并没有激发它，它需要通过双击盘符来激发，同时我又担心它会通过右击打开来
激发，所以就想在命令行下把它分复制下来，结果发现这个病毒是隐藏｜只读｜系统属
性，没有复制成功，于是就去掉了这些属性，再次进行同样操作，结果还是不成功，提
示全是“访问被拒绝”。
后来册除了U盘上的Autorun.inf文件，然后在资料管理器里打开此U盘，打算复制此文
件，结果给的提示仍然是“访问被拒绝”，后来几经分析，发现不是文件权限的问题。
因为U盘是FAT32格式的，不存在安全权限。到此为止，问题就是此文件不能复制。
然后我试着直接用UltraEdit打开它，给出的提示仍然是“访问被拒绝”，后来我用尝
试用了其一些软件，如记事本，写字板，WinHex，HIEW，W32DASM等来打开此文件，结果
全是访问被拒绝。到此为止，问题是此文件不能被访问。
后来我又试着改变这个文件的名字，结一下子就成功了，就是说可以进行重命名。
再后来我在Linux系统下把这个文件拷了下来，放在了Windows系统的分区，并做了多个
副本。然后再回到Windows统，发现对这个文件依然不具有访问权限，但是可以轻易就把
它删除。到此为止，结论是此文件可以被删除。
综合起来，这个文件的特征是可重命名，可删除，不可被访问（包括打开、复制、移动）
因为没有虚拟机，所以一直没有试过此文件是否可以运行。不过我想它是既然是传播的
病毒，那个这个机制肯定是行得通的。
分析至此，我再次进入Linux系统，以二进制方式打此文件对它进行编辑，采取三种措施：
增，删，改！

增：
向该文件的头部增加一些随机字符，并命名此文件为virus_add_head
我该文件的尾部增加一些随机字符，并命名此文件为virus_add_tail

删：
删除该文件的头部（MZ开头那一行16个字节），命名为virus_del_head
删除该文件的最后一行16个字节，命名为virus_del_tail

改：
改掉该文件的PE指向，命名为virus_changePE
改掉该文件的.text与.rdata段之间的数据

再次回到Windows系统：
情况如下：
文件
virus_add_tail
virus_del_tail
仍然无法访问。

文件
virus_del_head
virus_add_head
可以正常访问
但是删去文件virus_add_head中添加的数据，然后再保存下来，结果保存后的文件就
不能访问了，就是恢复成原来的文件后就无法访问。
同理向virus_del_head添加头部的16个字节保存后，文件也无法访问。

文件virus_changePE可以访问，把PE指向改为原值时，文件就无法访问。
文件virus_text_rdata可以正常访问，而且从原来没有图标的程序变成了文件夹图的
程序。

由此我得出的结论是，只要使这个可执行程序不是一个有效的可执行程序就可是访问了，
如果说它其中有特殊代码可以阻止自身被调试，而无法用调试工具打开编辑，但是为什
连用文本工具对它进行编辑时都无法访问呢？在Windows中用文本／二制进编辑工具打
开某个文件时程序会把读取的数据当作指令来执行吗？如果不会那么是什么原因导致这
种拒绝访问的情况呢，不知道这是不是Windows的一个Bug。

需要此文件的留下Mail
/////////////////////////////////////////////////////////////////////////
///
/// 注：
/// 1.本附件为exe格式的文件，扩展名已被改掉，是病毒程序。
///
/// 2.本附件中PE入口地址为F8,已被我改成D8（随意改的，目的是破坏它的PE结构）
///
/////////////////////////////////////////////////////////////////////////


[解决办法]

[解决办法]
可以使用attrib查看和更改文件属性，看看你的病毒是不是有什么特殊属性。
我觉得，大概不是windows的bug。
[解决办法]
gz
[解决办法]
我看看 liangl79 AT gmail DOT com ...
可能要先压缩一下, 不然很可能被删除 ...
[解决办法]
o
[解决办法]
jf
[解决办法]
是不是杀毒软件把它禁用。
[解决办法]
可以运行, 是个文件夹的图标, 不过可能病毒检查了是否在虚拟机上运行, 在上面没有这种情况, 没有做什么破坏, 也可以随便删除, 不过我不敢在自己的机器上测试, 唉 ....

[解决办法]
windows文件的打开方式中,有一种独占模式.使用这种模式打开之后,其他程序就不能再打开这个文件了.而独占模式打开文件时,一定在什么地方做了标记.
你那个文件虽然没被其他程序打开,但标记打开模式的地方一定是和一个已以独占模式打开了的文件相同了.所以不能再打开了.

纯粹猜测.
[解决办法]
强人啊……