FANDOM


Burma(緬甸)是相當危險的MS-DOS檔案覆寫病毒,作者是來自保加利亞的編程者Dark Avenger。

已知的變種有10個並且分3個版本:

  • Virus.DOS.Burma.409
  • Virus.DOS.Burma.442
  • Virus.DOS.Burma.563

感染行為编辑

執行此病毒會先觸發,然後覆寫在指定資料夾中的第一個DOS和EXE的應用程式,但不包括COMMAND.COM。這是檔案取代形式的覆寫,故被覆寫的檔案將不能復原,而且修改時間會變更為感染的時間。

此病毒總是指向第一個目標格式的檔案,就算該檔案已被覆寫過,再次執行還是只會覆寫相同的檔案。還有的是,它不能感染唯讀檔案,如果資料夾內的第一個檔案被設成唯讀,執行病毒將無法傳播。

Burma.409编辑

此變種最為危險,屬檔頭覆寫類型,而且會感染每一個應用程式,還有壓縮檔(ZIP)、系統檔(SYS)、DAT和OVL檔案,包括任何唯讀屬性的檔案,但不感染比自己小的檔案,而且受感染的檔案的修改時間不變。範圍由目前的位置開始,經每一個父資料夾,直到最頂層。

感染範圍可以利用以下的目錄樹作為例子來說明:

C:(最頂層)
|-DIR1
| |-SUB1-1
| |-SUB1-2
|-DIR2
| |-SUB2-1
| |-SUB2-2
| |-SUB2-3
|-DOS

假設病毒在資料夾SUB1-2,在這個位置執行受感染的檔案後除了同一資料夾內的檔案,DIR1和最頂層的檔案都會受到影響,而隔鄰的SUB1-1和其他資料夾的檔案則不會被感染。

Burma.442、442.c、442.d、442.e和442.i编辑

此442位元組的變種約在1995年初被發現,它們感染目前位置以及C:\DOS的檔案,然後將目前位置移到C:\DOS。

Burma.442.b编辑

這個變種感染目前位置以及最上層的檔案,然後將目前位置移到最上層。

Burma.563和666编辑

563位元組的變種在1994年7月被發現。

這些變種感染最頂層以及C:\DOS的檔案,其他位置的檔案不會被感染,之後將目前位置移到C:\DOS。

對於Burma.666,如果最頂層已經存在受感染的檔案,再次執行會當掉系統,而且在嘗試重複感染這個檔案時發生問題,事後該檔案的大小將會是0位元組。

Burma.756编辑

此變種在1995年7月被發現。它只感染目前資料夾內的檔案,換言之C:\DOS的檔案不一定會受到影響,之後會嘗試存取A:。如果A:內沒有軟碟,那麼系統會提示要否繼續,如果使用者選擇中止(Abort),那麼它不會感染任何檔案。但如果已經有軟碟插入了的話,它就會當掉系統,嘗試感染檔案時還會發生問題,事後受感染的檔案的大小將會是0位元組。

嘗試存取A:(但失敗)過後,它不會將目前位置改變,回到執行病毒前的位置。

進階資料编辑

此病毒沒有TSR程式碼故不會在執行過後繼續留在記憶體中。

MD5:

變種 MD5雜湊
Burma.409 1418454d4dac4fa466393b1ff7651008
Burma.442 856f91a2165eb7eb9e4eeaf702b05278
Burma.442.b 9d3dd6d5dd54e8fbba1ed3bf043fb173
Burma.442.c cab7b19e0ec491b47bfbde201103df9e
Burma.442.d faa8f1ecd7ecf80b71ee6d0319bac3ba
Burma.442.e d7d893cfd73c226bed182485048fc5f4
Burma.442.i 4377cbf845162e5cfc2459a144281b84
Burma.563 f5c2b2ae9963fb4b28ff4420a07f6320
Burma.666 1e45addfabaecf2aa5675209db5a9861
Burma.756 3e96c24a08afa888aa613b1d9f54c2f8

觸發行為编辑

除了Burma.409、442.c和442.d,此病毒會將畫面上的文字如沖廁般清除,之後才覆寫檔案。

Burma.409编辑

此變種不會觸發,但因為最頂層最重要的系統檔案都已經被覆寫,故下次啟動電腦將無法載入系統。

Burma442

Burma.442清除文字的效果

Burma.442、442.b和442.e编辑

清除畫面的文字後顯示字串:

[Tempest - α]

Burma.442.c和442.d编辑

這些變種不帶觸發行為的程式碼,所以不會清除文字,不過會跳一空白行。

Burma.442.i编辑

此變種只播放清除文字的效果,不顯示任何文字。

Burma.563、666和756编辑

清除畫面的文字後顯示字串:

Reading system configuration, please wait.
S_w_i_z_z_l_e_S_t_y_x_x_!

當中的底線符號為ASCII 01h字元(反白笑臉符號)。

Burma.756還會播放聲音。

變種编辑

Burma總共有10個變種:

  • Virus.DOS.Burma.409
  • Virus.DOS.Burma.442(還有B、C、D、E和I)
  • Virus.DOS.Burma.563
  • Virus.DOS.Burma.666
  • Virus.DOS.Burma.756

其他資料编辑

Burma.442.c和442.d的原始樣本只有約230位元組,然而被這些變種感染的檔案仍有442位元組的感染大小,只是不同在觸發部分的程式碼都是空白的。

Burma.409包含以下內部字串:

*.COM
*.EXE
*.ZIP
*.DAT
*.SYS
*.OVL
Tempest - α Of LuxemburgVaginal Discharge

Burma.442、442.b和442.e包含以下內部字串:

*.?x?
*.?o?
\DOS
[Tempest - α]
Rangoon, Burma

Burma.442.c、442.d和442.i包含以下內部字串:

*.?x?
*.?o?
\DOS

Burma.563、666和756包含以下內部字串,當中的底線符號為ASCII 01h字元(反白笑臉符號):

*.?x?
*.?o?
\DOS
D_a_r_k_A_v_e_n_g_e_r

參考來源编辑

  1. Burma在VX Heaven上的變種清單
  2. Burma.442、563和756在Online VSUM上的描述