【IT专家网独家】病毒名称： Virus.Win32.Drowor.b

　　病毒类型： 感染式病毒

　　文件长度： 58,736字节

　　感染系统： Windows98以上版本

　　加壳类型： 无壳

　　病毒描述：

　　该病毒为感染式病毒，病毒修改了宿主程序的入口点，并对自身进行异或加密;病毒执行后把自己拷贝为以下文件%System%\services_test.exe，创建名为services_test.exe的进程，然后返回宿主程序继续执行。

　　代码分析：

　　////此处采用XOR加解密，解密模块(同时也是加密模块)，密钥为0BFh，ECX为循环解密的次数，ESI指向加密数据的首地址，EDI指向解密后的数据的首地址

　　////以下逐页比较验证是否为Kernel32的基地址

　　////子函数调用来自0040B0C8

　　////将得到的基地址保存到变量中，并得到PE头的线性地址