Beda是在MS-DOS上執行的TSR檔案寄生病毒,感染大小可變,此族的部分變種有自我加密的屬性。
有16個已知的變種並分6個版本(以下為代表):
- Virus.DOS.Beda.332
- Virus.DOS.Beda.337
- Virus.DOS.Beda.609
- Virus.DOS.Beda.883
- Virus.DOS.Beda.1530
- Virus.DOS.Beda.3233
感染行為[]
病毒進入記憶體後,會使用INT 21h感染任何開啟或執行的程式,在開啟受感染的檔案前會暫時解除感染,但關閉後再次感染。
此病毒使用BEDAh的16位元碼用來辨認自己的身份,這可以在受感染的檔案以及其載入到記憶體的TSR程式中找到。在感染檔案時它有機會使檔案損毀,執行這些受感染的檔案有機會當掉甚至癱瘓系統。
Beda.332[]
此變種相信是第一個發佈的變種,感染大小固定,只感染執行的DOS應用程式,而且當中不是每一個程式都會受感染。它不會檢查檔案是否曾被感染,故再次執行會重複感染。
受感染的檔案的修改時間會變更為感染的時間。
Beda.337、403、419、420、552、883、1196和1301[]
這些變種會感染任何執行的DOS應用程式,不過不會重複感染。
受Beda.337、403、419和420感染的檔案的修改時間會變更為感染的時間,而其餘的變種則會將修改日期亂改而且修改的時分秒變更為23:54:52。
Beda.609[]
這是唯一感染EXE應用程式的變種,受感染的檔案的修改時間會變更為感染的時間。
不過,因為一些編程的問題,執行受感染的檔案有時會因嘗試存取無效的RAM位址而癱瘓系統。
Beda.1314、1530、1724和1857[]
這些變種會感染任何執行的應用程式,受感染的檔案的修改日期會被亂改而且修改的時分秒變更為23:54:52。
Beda.3233和3291[]
這些是加密的變種,同樣會感染任何執行的應用程式,受感染的檔案的修改日期會被亂改而且修改的時分秒變更為23:54:52。
然而對於EXE格式,則不是每一個都會被感染。
進階資料[]
下表列出所有變種的在記憶體所佔用的空間。
| 變種 | 使用量(位元組) |
|---|---|
| Beda.332 | 1,024 |
| Beda.337 | 1,024 |
| Beda.403 | 1,024 |
| Beda.419 | 1,024 |
| Beda.420 | 1,024 |
| Beda.552 | 1,024 |
| Beda.609 | 640 |
| Beda.883 | 2,048 |
| Beda.1196 | 3,072 |
| Beda.1301 | 3,072 |
| Beda.1314 | 3,072 |
| Beda.1530 | 3,072 |
| Beda.1724 | 3,072 |
| Beda.1857 | 3,072 |
| Beda.3233 | 4,096 |
| Beda.3291 | 4,096 |
MD5:
| 變種 | MD5雜湊 |
|---|---|
| Beda.332 | 695f3909fc94244295b2dcaadd9414aa
|
| Beda.337 | 592cfbb4c79a690cccdc1f9d5a6385a7
|
| Beda.403 | 44583bf238a79b837ff695f4f4a652d3
|
| Beda.419 | 800a731174e01cb90696c6c72e5887df
|
| Beda.420 | 4b72f216bea0684b3092dc3bd60bb331
|
| Beda.552 | 3e4bd07bd0709fb7602f170ae5e3f954
|
| Beda.609 | c078e6e3e59202e1a12b014ebc3df082
|
| Beda.883 | 5f1716a070ba48b371453ff13c5a13be
|
| Beda.1196 | e58e1308aadf6eca6715ecca5debd76a
|
| Beda.1301 | 15b12f394eb3e7b72c62dc05ada49729
|
| Beda.1314 | fe2bb8fed247cfdd8b2f5bd2d05373d1
|
| Beda.1530 | e80f0c81998ed8be660a4e6d3f6b79e4
|
| Beda.1724 | 30be3b810caba1fd274a9a803dc386df
|
| Beda.1857 | 991f8ddb92f0ff0834dc06c1dd46bec9
|
| Beda.3233 | 9ac0ca349d542205513ab6d21e0c27d7
|
| Beda.3291 | 6c628c551284eb7f64cfaaeba4922d5e
|
觸發行為[]
Beda.332、337、420和609[]
不觸發。
Beda.403[]
執行受感染的檔案此變種會額外跳4空行並加一字句:
WOODPECKER WARNING !
還會將游標加厚,變成插入模式的樣子。
Beda.419和552[]
執行受感染的檔案這些變種會從主機蜂鳴器播放聲音。
Beda.883、1196和1301[]
每執行7或13次受感染的檔案,這些變種會在畫面顯示3個移動的顏色條,有紅、綠和藍色,按任意鍵可以中止它然後讓系統執行原本的程式再回到DOS。
Beda.1314[]
這是往後比較危險的變種的先行發行版本,不會觸發。
Beda.1530、1724、1857、3233和3291[]
這些變種比較危險,它們會偵測和刪除以下檔名的檔案:
-V AIDSTEST A-DINF WEB
一旦執行這些檔案,這些變種會將其刪除並顯示跟Jerusalem觸發時一樣的字句:
Bad Command or file name
同時,它們會使用INT 9,並根據病毒本身的內部計時器改變輸入的字母:
n -> y N -> Y
除了Beda.1530,如果在11月或12月執行受感染的檔案,此病毒會將系統重新開機。換言之,如果COMMAND.COM受感染,電腦在這些月份開機就會無限重啟。
Beda.3233和3291還包含另一個觸發行為但目前觸發的方法暫時未知。
變種[]
Beda總共有16個變種:
- Virus.DOS.Beda.332
- Virus.DOS.Beda.337
- Virus.DOS.Beda.403
- Virus.DOS.Beda.419
- Virus.DOS.Beda.420
- Virus.DOS.Beda.552
- Virus.DOS.Beda.609
- Virus.DOS.Beda.883
- Virus.DOS.Beda.1196
- Virus.DOS.Beda.1301
- Virus.DOS.Beda.1314
- Virus.DOS.Beda.1530
- Virus.DOS.Beda.1724
- Virus.DOS.Beda.1857
- Virus.DOS.Beda.3233
- Virus.DOS.Beda.3291
其他資料[]
執行受Beda.1196、1301、1314、1530或1857的檔案會有明顯的執行延遲。
Beda.403包含以下內部字串:
WOODPECKER WARNING !
Beda.1724包含以下內部字串:
07/28/98
Beda.1857包含以下內部字串:
05/05/91
Beda.3233包含以下被多重加密的內部字串:
Mister Danilov why you add in my family viruses BEDA-338 and BEDA-352 ? 07/28/98
Beda.3291包含以下內部字串:
Mister Danilov why you add in my family viruses BEDA-338 and BEDA-352 ? 02/06/96
參考來源[]
- Beda在Online VSUM上的詳細資料
- Beda在VX Heaven上的變種清單