FANDOM


Casino是在MS-DOS上運作而且有一定危險性的TSR檔案寄生病毒,感染大小可變。

感染行為编辑

此病毒在進入記憶體時先感染COMMAND.COM和建立「偽COMMAND.COM」,為病毒本身,之後它會開啟「偽COMMAND.COM」,再感染任何執行的DOS應用程式,同時額外感染1或2個同類型的檔案。在「偽COMMAND.COM」的TSR碼載入到RAM後病毒會將這個檔案從硬碟中移除。

這個病毒不能感染超過64KB的檔案,所以在MS-DOS 7.1,它無法感染COMMAND.COM(94,292位元組或92.08KB)。

在軟碟機放有讀寫保護的磁片時,這病毒會使用INT 13h來偵測,並移除唯讀屬性來感染當中的檔案。

雖然這個病毒會自我隱藏,但因感染大小可變,部分受感染的檔案仍能被觀察到有數個位元組的變化。

進階資料编辑

此病毒在記憶體佔用3,216個位元組的空間。

MD5:

3468be4c2d90bd6f1c15314bc896f5e2

觸發行為编辑

在1、4或8月15日時執行受感染的檔案,此病毒會將硬碟中的檔案配置表(FAT)載入到RAM並將原本的損毀(但失敗),然後顯示老虎機遊戲。使用者有5次機會,只有在畫面中擲到三個英鎊符號才可以保住資料;但如果5次都沒中,又或者擲到三個「?」的話,那麼硬碟的資料就取不回來。之後會把系統當掉。

因為COMMAND.COM已被感染,在觸發當日重新啟動電腦多少次,這個畫面還是會在系統啟動後顯示。

其他資料编辑

透過UNDELETE可以找到刪除了的偽COMMAND.COM,大小為2,330個位元組,附加了隱藏的屬性。檔名如下:

COMMAND .COM

檔名中附有一個空白字元,在DOS內使用者基本上不能存取這個檔案。

此病毒包含以下內部字串:

*.COM
C:\COMMAND.COM
COMMAND
.COM
????????COM