FANDOM


需要關鍵資料 本條目部分內容因為缺少關鍵資料而無法擴充。如你持有或透過實驗取得相關資料,請透過編輯或留言以協助更新有關內容。

Barrotes,西班牙文的Bars,即「間條」,是在MS-DOS上運作且非常危險的TSR檔案寄生病毒。在畫面上顯示間條或/和摧毀MBR是這個病毒的主要特點。

有17個已知變種,另有1個變種同屬此族。最小的感染大小為840個位元組而最大的有1,874個位元組。

感染行為编辑

載入到記憶體後先感染位於C:最上層的COMMAND.COM,然後使用INT 21h以感染任何執行的應用程式。

大部分的變種都不感染帶有以下檔名的檔案:

MSAV MWAV

Barrotes.840和849编辑

這些變種分別在1994年3月和7月被發現流出,它們只感染DOS應用程式。

Barrotes.1127编辑

此變種流出時間不明。在開始時不會感染COMMAND.COM,而是感染F:\LOGIN.EXE。會感染任何格式的應用程式,而且它不會檢查執行的檔案是否曾被感染過,故此會重複感染,使檔案越來越大。

不過這變種不感染任何大於64,409個位元組的檔案。

Barrotes.1194、1222、1292、1310、1447、1463、1874和Tecla.1303编辑

部分變種在以下的時間被發現流出:

變種 日期
Barrotes.1194 1995年7月
Barrotes.1310(原始變種) 1992年12月
Barrotes.1447 1996年7月
Barrotes.1463 1996年1月
Barrotes.Tecla.1303 1994年2月

這些變種會感染任何格式的應用程式,而且有機會損毀這些檔案,使其在執行時發生錯誤,繼而當掉系統。

它們都會在載入記憶體時先感染C:\COMMAND.COM,Barrotes.1310.b、j和k除外。

第一個執行受Barrotes.1292感染的檔案會顯示以下文字:

Iniciando Filo-Windows 95
Virus by...

翻譯(西班牙文):

正在執行檔案-Windows 95
病毒來自...

Barrotes.1310.b和j有反偵錯程式偵測,當它們在記憶體時如果使用者試圖對受感染的檔案進行偵錯,就把系統當掉。

Barrotes.1310.d和e使用i386指令來將自己放置到記憶體。

Barrotes.Tecla.1303是加密了的變種,載入記憶體時先感染同一資料夾內的COMMAND.COM,而非絕對路徑。也就是C:\COMMAND.COM不一定會被感染,但如果目前位置是在最頂層的話,它被感染是遲早的事。

Barrotes.1461编辑

這個變種在載入RAM時先感染C:\DOS\KEYB.COM,然後感染任何執行的應用程式。與Barrotes.1127相似的是,它會重複感染檔案。

進階資料编辑

下表列出所有變種在記憶體所佔用的空間。

變種 使用量(位元組)
Barrotes.840 1,600
Barrotes.849 1,600
Barrotes.1127 1,600
Barrotes.1194 1,600
Barrotes.1222 1,600
Barrotes.1292 1,552
Barrotes.1310(A、B、D、I、J和K) 1,600
Barrotes.1310.e 3,200
Barrotes.1447 1,712
Barrotes.1461 1,872
Barrotes.1463 1,728
Barrotes.1874 2,304
Barrotes.Tecla.1303 1,632

MD5:

變種 MD5雜湊
Barrotes.840 117cfad8314e61316765d75b3d0e7760
Barrotes.849 0e465865ece2ddd851f6e6b6449dbdfe
Barrotes.1127 5a252c463b98738a1d171b24a219c93a
Barrotes.1194 4d845737aa1f41024521b4346299e4cb
Barrotes.1222 d1da67a83dd658a597061fe2e876a66d
Barrotes.1292 d073a14dd5031fda4ec65f724c8fc686
Barrotes.1310.a 9e5d3ef878d4320a20b5c2d354c31d20
Barrotes.1310.b f12af07ab9494f32a572b2895843004d
Barrotes.1310.d 330fe8d07aee7e47bfd22ced738c060e
Barrotes.1310.e 8b273c57d2b483fd2024eba5db970e5d
Barrotes.1310.i 5798e64ef4663103ba47f59dee56ceda
Barrotes.1310.j 889170ab1d7eb361a2aaf311044d4a93
Barrotes.1310.k 66df96dc1310b277f0198c169fc57f7d
Barrotes.1447 d428c706ec05034d9f2a6fce651b5fd1
Barrotes.1461 d5622e5e252bd99048bdb710cfb60b64
Barrotes.1463 bd7021b8678f5fef15ccdf15056951b8
Barrotes.1874 8541db9bce4e181324d0c8438f43543a
Barrotes.Tecla.1303 dbc50ec1b4f6530143c1443a52fad6a2

觸發行為编辑

觸發時,此病毒將這部分的程式碼解密,並開始使用INT 1Ch顯示一些直線,以及在畫面左上角顯示以下文字:

Virus Barrotes por OSoft

翻譯(西班牙文):

來自OSoft的Barrotes病毒

部分變種更會將MBR洗掉,使系統在重啟後無法載入。

Barrotes849 payload

Barrotes.849觸發的畫面

Barrotes.840和849编辑

這兩個變種在1月5日觸發,顯示灰色的直線並損毀MBR。

Barrotes.1127和1292编辑

這些變種沒有觸發內容的程式碼,故不會觸發。

Barrotes.1194编辑

這個變種預定在每月1日觸發,顯示直線和損毀MBR,但失敗。

Barrotes.1222编辑

這個變種在5月25日觸發,它不會顯示任何直線或文字,直接將MBR損毀,還會減慢系統的處理速度。

Barrotes.1310.a、b和j编辑

這些變種在1月5日觸發,顯示會變色的直線和損毀MBR(變種J除外)。

對於Barrotes.1310.b,觸發後接收到鍵盤輸入更會癱瘓系統。

Barrotes.1310.d和e编辑

這些變種在7月20日觸發,顯示會變色的直線,和在左上角顯示以下文字:

Virus MIKELON por MSoft

Barrotes.1310.i编辑

這個變種在5月23日觸發,顯示會變色的直線,和在左上角顯示以下文字:

Araceli Escobar=ENANA+PUTA

Barrotes.1310.k编辑

這個變種在5月23日觸發,顯示會變色的直線和損毀MBR,和在左上角顯示以下文字:

Virus SuperDepor vK&S
Barrotes1463 payload

除錯後觸發的Barrotes.1463

Barrotes.1447和1463编辑

這些變種在一個無效的日期觸發,然而可以在除錯後找到其觸發行為。它們會在畫面頂端顯示以下文字以及損毀MBR:

ViRUS de G.D.R. (c)PutoSOfT,  NO HAY NADA COMO G.D.R.  ¿¿ VERDAD ??   ;-)

翻譯(西班牙文):

來自(c)PutoSOfT的G.D.R病毒,像不像G.D.R呢?;-)

同一時間,整個畫面的文字會不停的向左移動。

而該無效的日期是在每月的第34日觸發,而原本預定的日子為為22日,卻在程式碼中誤寫成22h(十進位的34),又或者在編寫日期解碼時誤用十進制方式。

Barrotes.1461编辑

這個變種在3月3日觸發,一旦執行受感染的程式,它會損毀硬碟上的磁區,顯示以下的訊息並當掉系統:

This is virus RETRETE!
Don't attempt to recover your disk yourself!

翻譯(英文):

這是RETRETE病毒!
別妄想可以自行復原你的硬碟!

Barrotes.1874编辑

這個變種會播放音樂。但目前未找到其觸發條件。

Barrotes.Tecla.1303编辑

這變種在9月23日觸發,它會使用INT 16h以干擾鍵盤輸入。

變種编辑

Barrotes總共有18個變種:

  • Virus.DOS.Barrotes.840
  • Virus.DOS.Barrotes.849
  • Virus.DOS.Barrotes.1127
  • Virus.DOS.Barrotes.1194
  • Virus.DOS.Barrotes.1222
  • Virus.DOS.Barrotes.1292
  • Virus.DOS.Barrotes.1310(A、B、D、E、I、J、K)
  • Virus.DOS.Barrotes.1447
  • Virus.DOS.Barrotes.1461
  • Virus.DOS.Barrotes.1463
  • Virus.DOS.Barrotes.1874
  • Virus.DOS.Barrotes.Tecla.1303

其他資料编辑

Barrotes hoax

Barrotes惡作劇程式執行時的樣子,除了擋著使用者的視線就沒有別的了。

由BERTOV1編寫的惡作劇程式Hoax.DOS.Barrotes,一旦執行即會觸發,使用INT 1Ch顯示橙色的直線,但不會進行任何對系統有害的行為,就純粹妨礙使用者的視線。

Piolin,又稱為Barrotes.1176,另一擁有類似行為且相當危險的DOS病毒。

Barrotes.840包含以下內部字串:

c:\command.com
OS

Barrotes.849和1292包含以下內部字串:

c:\command.com
SO

Barrotes.1127包含以下內部字串:

f:\login.exe
l9(還有2個空格)

Barrotes.1194包含以下內部字串:

c:\command.com
l7XS

Barrotes.1222包含以下內部字串:

lZ(ASCII ADh和ASCII DEh)

Barrotes.1310(A、D和E)包含以下內部字串:

c:\command.com
l7SO

Barrotes.1310.b包含以下內部字串:

Galiza Xakobeo
l7SO

Barrotes.1310.i包含以下內部字串:

c:\command.com
l7MV

Barrotes.1310.j包含以下內部字串:

Terror Again 97
l7SO

Barrotes.1310.k包含以下內部字串:

SuperDepor vK&S
l7SO

Barrotes.1447和1463還包含以下內部字串:

c:\command.com
loXX

Barrotes.1461包含以下內部字串:

c:\dos\keyb.com

Barrotes.1874包含以下內部字串:

c:\COMMAND.com

Barrotes.Tecla.1303包含以下加密的內部字串:

C:\COMMAND.COM
Sta Tecla (MAD1)
ST

參考來源编辑

  1. Barrotes在F-Secure Labs以及Online VSUM上的描述
  2. Barrotes在VX Heaven上的變種清單