这个应该不是病毒，反汇编并脱壳后只有几行，如下：

00401000 > $  6A 00         PUSH 0                                   ; /Title = NULL
00401002   .  68 00304000   PUSH dumped_.00403000                    ; |Class = "ALPHA"
00401007   .  E8 0E000000   CALL <JMP.&user32.FindWindowA>           ; \FindWindowA
0040100C   .  6A 00         PUSH 0                                   ; /ExitCode = 0
0040100E   .  E8 01000000   CALL <JMP.&kernel32.ExitProcess>         ; \ExitProcess
00401013   .  CC            INT3
00401014   $- FF25 00204000 JMP DWORD PTR DS:[<&kernel32.ExitProcess>
0040101A   $- FF25 08204000 JMP DWORD PTR DS:[<&user32.FindWindowA>]

只有两个函数调用，一个是FindWindowA，另一个是ExitProcess。
虽然data段里有些东西看不懂，不过似乎并没有访问过那些东西。

如何看它是否加壳的,我用PEiD没有查出来。不好意思，我菜鸟一名

其实我也不知道有壳，载入的时候OD也没提示，只是单步的时候看到了pushad，感觉这是伪装了的壳，就顺手脱了。

你运行起来以后在OD命令窗口打DD 40c516
IAT是解码出来的,不止那2个
感觉代码都是变形的~

经实践证明这的确是的病毒
偷了下懒，当时没用虚拟机，直接在真机运行了。结果现在电脑全感染病毒了，还有移动硬盘。看这个报告http://virscan.org/report/02dec3f2008be7e17468afb6dc1e7c88.html

今天回去装上Ubuntu，然后下载WinXP和卡巴，再装系统！

注册日期: Aug 2004
帖子: 5  
精华: 0

好早好早..

由于ntdll.ZwCreateFile在虚拟机中被Hook，而该病毒会对这个函数做Hook判断，因此此病毒并不会感染虚拟机吧。

在虚拟机跑至少不会感染真机……

注册时间早也没用……很少时间学这个，只能搞点简单的。