Malware Wiki 中文
註冊
Advertisement

Virdem是在MS-DOS上運作而且相當危險的檔案寄生病毒。這是DOS病毒史上的第一款檔案感染病毒,距離第一個可在PC上運作的病毒Brain出現的時間僅一年左右。

有16個已知的變種並分5個版本(以下為代表):

  • Virus.DOS.Virdem.463
  • Virus.DOS.Virdem.601
  • Virus.DOS.Virdem.792
  • Virus.DOS.Virdem.1336
  • Virus.DOS.Virdem.1542

感染行為[]

執行受感染的檔案後,此病毒會感染第一個未被感染的DOS應用程式,它先將檔案原本的程式碼放置到檔末,然而將自己放置到檔頭。

部分的變種會搜尋其他資料夾以感染更多檔案,但不會搜尋其子資料夾內的檔案。

Virdem.463、792、824、1336.c和1542[]

這些變種在當前資料夾的所有檔案都被感染過後,它們會搜尋其他資料夾以感染更多檔案。

Virdem.792不感染C:\COMMAND.COM,但會嘗試存取軟碟機A:和B:。

Virdem.601和1336.f[]

這些變種會嘗試存取D:並感染當中的檔案,如果D:未被指派到任何裝置,又或者指派到唯讀的裝置的話,它將無法感染任何檔案。

Virdem.601亦會感染C:\COMMAND.COM。

Virdem.833[]

這個變種先感染C:\COMMAND.COM,然後感染目前資料夾內的第一個未被感染的檔案,再設定一個計數器,開始為0。如果感染到達到9(但不包括COMMAND.COM),它就停止感染。

Virdem.836[]

這個變種只感染C:最頂層的檔案。

Virdem.1336.a、b、e、g和h[]

這些變種感染插入在軟碟機A:內的軟碟的檔案。

進階資料[]

此系列的病毒在執行過後並不留在記憶體中。

MD5:

變種 MD5雜湊
Virdem.463 920c3d972c768e360c0ef184d3e691c8
Virdem.601 fafb181a6f88a1f612e17079570e5ab4
Virdem.792 c024d2dbcfd5d252d9f8871d26ee260d
Virdem.824 b1c71a30e7ebb52e37d60dc4c040cf39
Virdem.833 1f62b8a3002e19d5bcb7dbecfde446e9
Virdem.836 62fe536d498a7d565968e4b9e93081e5
Virdem.1336.a 81f93438537c2abe36c2963cc2421a7e
Virdem.1336.b 875a5cb73403f5f409e00d0a9fc3c082
Virdem.1336.c 60d9e3e56f4bf89a5e78e701bbc61c39
Virdem.1336.d 8d152c226fbef3c43579c2a1b4d28600
Virdem.1336.e 29b0adc1a379cf7751c31b17ed07afb2
Virdem.1336.f adca18f00a663ada2e56078d6b63a1f1
Virdem.1336.g 0e7d4651782a0ac49126ec950dd296dd
Virdem.1336.h 933b029966b6862b85eaffd0f6341a46
Virdem.1336.i 79088023516f77c534ce3d2062fa87ea
Virdem.1542 d26d5ed600d5b32113f4ceba2a9204b9

觸發行為[]

Virdem.463, 601, 824, 836 and 1336.c[]

不觸發。

Virdem.792[]

這個變種在每次執行受感染的檔案時會損毀任何插入到A:和B:的軟碟的檔案配置表(FAT)。

Virdem.833[]

在星期一,執行任何受感染的檔案此病毒會在畫面頂顯示一隻ASCII蟲由左到右移動。

Virdem.1336.a、b、e、f、g和h[]

在感染一個檔案後,它顯示一個估數字遊戲:

VirDem Ver.: 1.06 (Generation #) aktive.
Copyright by R.Burger 1986,1987
Phone.: D - 05932/5451

This is a demoprogram for
computerviruses. Please put in a
number now.
If you're right, you'll be
able to continue.
The number is between
0 and x

當中x為一個數字,如果使用者猜錯,它不會讓寄主的程式執行,並顯示以下訊息:

Sorry, you're wrong
More luck at next try

反之,猜對的話,它顯示:

Famous. You're right.
You'll be able to continue.

如果所有的檔案都已被感染,它顯示:

All your programs are 
struck by VIRDEM.COM now.

B、E、G和H變種的文字都是以德文顯示。

F變種在使用者猜中後當掉系統。

Virdem.1542[]

除了COMMAND.COM,如果整個硬碟的所有DOS程式都已被感染,執行它會將畫面切換成CGA模式並顯示一個ASCII彩色菱形動畫。

變種[]

Virdem總共有16個變種:

  • Virus.DOS.Virdem.463
  • Virus.DOS.Virdem.601
  • Virus.DOS.Virdem.792
  • Virus.DOS.Virdem.824
  • Virus.DOS.Virdem.833
  • Virus.DOS.Virdem.836
  • Virus.DOS.Virdem.1336(A至I)
  • Virus.DOS.Virdem.1542

其他資料[]

Virdem的作者Raff Burger亦為「Computer Viruses: A High-Tech Disease」一書的作者。他在混沌電腦學會(Chaos Computer Club,一個德國的地下駭客討論區)中演示這個病毒的運作方式。此討論區大多數的會員都對VAX/VMS平台產生興趣,不過也對這個病毒的概念有點好奇。他還指出電腦病毒「在正當使用下可以帶出自我修改的電腦系統」。

Virdem.1136.c亦名Virdem.Killer。

很多變種在原本的變種發佈後約6至7年才流出。

Virdem.463包含以下內部字串:

*.com
IRUS

Virdem.601包含以下內部字串:

*.com

Virdem.792、824、1336和1542都包含以下內部字串:

*.com
????????exe
????????com

Virdem.1336的所有變種還包含受感染檔案的檔名在內。

Virdem.1542還包含以下內部字串:

a:\lo*.*

參考來源[]

  1. F-Secure對Virdem的簡要描述
  2. Virdem在Online VSUM上的描述
  3. Virdem在VX Heaven上的變種清單
Advertisement