FANDOM


需要關鍵資料 本條目部分內容因為缺少關鍵資料而無法擴充。如你持有或透過實驗取得相關資料,請透過編輯或留言以協助更新有關內容。

CMOSDead是極度危險的TSR檔案寄生加密病毒,在MS-DOS上執行。破壞CMOS記憶體是它其中一個特點。

有2個已知的變種:

  • Virus.DOS.CMOSDead.4792
  • Virus.DOS.CMOSDead.5154

還有3個不同名的變種同屬此族。

感染行為编辑

當病毒進入記憶體後,它先感染C:\COMMAND.COM,然後使用INT 21h感染任何執行的應用程式。

感染時此病毒將自己最首的32位元組的程式碼放置到寄主的檔頭,再將寄主該部分的程式碼放置到自己的後尾。對於受感染的COMMAND.COM,因為用以辨認的檔頭被移走,所以下次系統啟動時將無法辨認它,但仍可以手動載入。

在感染的過程中此病毒會查詢檔案大小,這也是其寄生到檔案時的開始位址,之後將取得的值儲存到自己的程式碼最後4個位元組。假設寄主的大小是10,000位元組,16進制即為2710h,那麼這些位元組的資料就是:

10 27 00 00

此病毒會自我隱藏,除了在檔案清單指令下不會看到受感染檔案的大小改變,當使用者嘗試複製受感染的檔案,病毒會將其解除感染才複製到使用者指定的位置。

進階資料编辑

下表列出所有變種在記憶體所佔用的空間。

變種 使用量(位元組)
CMOSDead.4792 5,072
CMOSDead.5154 5,440

MD5:

變種 MD5雜湊
CMOSDead.4792 1924ea4f30b798a4ca0c6aeb42ac2585
CMOSDead.5154 8fcf447c5614fc9843b39dfadd5db27c

觸發行為编辑

此病毒存在兩個觸發行為。

反除錯编辑

如果使用者嘗試為任何受感染的檔案進行除錯,發出P指令(Process)後它會清除畫面並在畫面中心顯示以下文字:

BE CAREFUL !

而且當掉系統和停止鍵盤輸入偵測。

資料損毀编辑

在特定的日子此病毒會隨機觸發。

觸發時會顯示有閃爍效果的ASCII大字「CMOS」(上)和「DEAD」(下),中間還有一段文字,並帶有不同頻率的嗶嗶聲。

CMOSDead.4792:

GRISOFT(c) SOFTWARE 1989,96

CMOSDead.5154:

Your computer will be need a psychiatrist...

在這個驚嚇的觸發畫面顯示期間,病毒已將CMOS的設定資料損毀,重啟後使用者需要重新輸入這些設定。

還有另一個危險的行為,如果使用者在這個畫面期間以CTRL-ALT-DEL重啟電腦,此病毒更會將硬碟資料全數清除。

其他資料编辑

觸發行為中的嗶嗶聲頻率會視乎CPU的速度改變,如果是在高速的CPU,這些聲音會變得相當刺耳。

此病毒包含以下加密的內部字串:

IOSYS
COMSPEC=
EXECOM
I love MS-DOS !

參考來源编辑

  1. CMOSDead在VX Heaven上的變種清單
  2. ILoveDos在VX Heaven上的變種清單