Virdem是在MS-DOS上運作而且相當危險的檔案寄生病毒。這是DOS病毒史上的第一款檔案感染病毒,距離第一個可在PC上運作的病毒Brain出現的時間僅一年左右。
有16個已知的變種並分5個版本(以下為代表):
- Virus.DOS.Virdem.463
- Virus.DOS.Virdem.601
- Virus.DOS.Virdem.792
- Virus.DOS.Virdem.1336
- Virus.DOS.Virdem.1542
感染行為[]
執行受感染的檔案後,此病毒會感染第一個未被感染的DOS應用程式,它先將檔案原本的程式碼放置到檔末,然而將自己放置到檔頭。
部分的變種會搜尋其他資料夾以感染更多檔案,但不會搜尋其子資料夾內的檔案。
Virdem.463、792、824、1336.c和1542[]
這些變種在當前資料夾的所有檔案都被感染過後,它們會搜尋其他資料夾以感染更多檔案。
Virdem.792不感染C:\COMMAND.COM,但會嘗試存取軟碟機A:和B:。
Virdem.601和1336.f[]
這些變種會嘗試存取D:並感染當中的檔案,如果D:未被指派到任何裝置,又或者指派到唯讀的裝置的話,它將無法感染任何檔案。
Virdem.601亦會感染C:\COMMAND.COM。
Virdem.833[]
這個變種先感染C:\COMMAND.COM,然後感染目前資料夾內的第一個未被感染的檔案,再設定一個計數器,開始為0。如果感染到達到9(但不包括COMMAND.COM),它就停止感染。
Virdem.836[]
這個變種只感染C:最頂層的檔案。
Virdem.1336.a、b、e、g和h[]
這些變種感染插入在軟碟機A:內的軟碟的檔案。
進階資料[]
此系列的病毒在執行過後並不留在記憶體中。
MD5:
變種 | MD5雜湊 |
---|---|
Virdem.463 | 920c3d972c768e360c0ef184d3e691c8
|
Virdem.601 | fafb181a6f88a1f612e17079570e5ab4
|
Virdem.792 | c024d2dbcfd5d252d9f8871d26ee260d
|
Virdem.824 | b1c71a30e7ebb52e37d60dc4c040cf39
|
Virdem.833 | 1f62b8a3002e19d5bcb7dbecfde446e9
|
Virdem.836 | 62fe536d498a7d565968e4b9e93081e5
|
Virdem.1336.a | 81f93438537c2abe36c2963cc2421a7e
|
Virdem.1336.b | 875a5cb73403f5f409e00d0a9fc3c082
|
Virdem.1336.c | 60d9e3e56f4bf89a5e78e701bbc61c39
|
Virdem.1336.d | 8d152c226fbef3c43579c2a1b4d28600
|
Virdem.1336.e | 29b0adc1a379cf7751c31b17ed07afb2
|
Virdem.1336.f | adca18f00a663ada2e56078d6b63a1f1
|
Virdem.1336.g | 0e7d4651782a0ac49126ec950dd296dd
|
Virdem.1336.h | 933b029966b6862b85eaffd0f6341a46
|
Virdem.1336.i | 79088023516f77c534ce3d2062fa87ea
|
Virdem.1542 | d26d5ed600d5b32113f4ceba2a9204b9
|
觸發行為[]
Virdem.463, 601, 824, 836 and 1336.c[]
不觸發。
Virdem.792[]
這個變種在每次執行受感染的檔案時會損毀任何插入到A:和B:的軟碟的檔案配置表(FAT)。
Virdem.833[]
在星期一,執行任何受感染的檔案此病毒會在畫面頂顯示一隻ASCII蟲由左到右移動。
Virdem.1336.a、b、e、f、g和h[]
在感染一個檔案後,它顯示一個估數字遊戲:
VirDem Ver.: 1.06 (Generation #) aktive. Copyright by R.Burger 1986,1987 Phone.: D - 05932/5451 This is a demoprogram for computerviruses. Please put in a number now. If you're right, you'll be able to continue. The number is between 0 and x
當中x為一個數字,如果使用者猜錯,它不會讓寄主的程式執行,並顯示以下訊息:
Sorry, you're wrong More luck at next try
反之,猜對的話,它顯示:
Famous. You're right. You'll be able to continue.
如果所有的檔案都已被感染,它顯示:
All your programs are struck by VIRDEM.COM now.
B、E、G和H變種的文字都是以德文顯示。
F變種在使用者猜中後當掉系統。
Virdem.1542[]
除了COMMAND.COM,如果整個硬碟的所有DOS程式都已被感染,執行它會將畫面切換成CGA模式並顯示一個ASCII彩色菱形動畫。
變種[]
Virdem總共有16個變種:
- Virus.DOS.Virdem.463
- Virus.DOS.Virdem.601
- Virus.DOS.Virdem.792
- Virus.DOS.Virdem.824
- Virus.DOS.Virdem.833
- Virus.DOS.Virdem.836
- Virus.DOS.Virdem.1336(A至I)
- Virus.DOS.Virdem.1542
其他資料[]
Virdem的作者Raff Burger亦為「Computer Viruses: A High-Tech Disease」一書的作者。他在混沌電腦學會(Chaos Computer Club,一個德國的地下駭客討論區)中演示這個病毒的運作方式。此討論區大多數的會員都對VAX/VMS平台產生興趣,不過也對這個病毒的概念有點好奇。他還指出電腦病毒「在正當使用下可以帶出自我修改的電腦系統」。
Virdem.1136.c亦名Virdem.Killer。
很多變種在原本的變種發佈後約6至7年才流出。
Virdem.463包含以下內部字串:
*.com IRUS
Virdem.601包含以下內部字串:
*.com
Virdem.792、824、1336和1542都包含以下內部字串:
*.com ????????exe ????????com
Virdem.1336的所有變種還包含受感染檔案的檔名在內。
Virdem.1542還包含以下內部字串:
a:\lo*.*
參考來源[]
- F-Secure對Virdem的簡要描述
- Virdem在Online VSUM上的描述
- Virdem在VX Heaven上的變種清單