CriCri是在MS-DOS上執行的TSR多形檔案寄生加密病毒,由病毒編程組29A的Griyo編寫。
有6個已知的變種:
- Virus.Multi.CriCri.4289
- Virus.Multi.CriCri.4300
- Virus.Multi.CriCri.4335
- Virus.Multi.CriCri.4616
- Virus.Multi.CriCri.4690
- Virus.Multi.CriCri.5595
感染行為[]
當病毒進入RAM前,它先感染C:\COMMAND.COM,之後再使用INT 13h和21h感染任何執行或開啟過的應用程式,它亦會感染系統正讀取的軟碟的啟動磁區。受感染的檔案可能會損毀,執行它們會無法正常工作並當掉系統。
在病毒留在記憶體期間,任何受感染的檔案的大小都跟感染前的一樣,也就是不會看到感染大小。而且因為COMMAND.COM先被感染,也是開機時一定載入的程式,故使用者更難發現到它。
然而不是每次而且每個檔案都一定會感染,同時此病毒不感染帶有任何數字或以下檔名字串的檔案:
V TB SC F- GU
不感染帶有數字檔名的檔案的主要原因可能是避過Goat程式的偵測,因為這些檔案檔名通常都存在數字。
CriCri.4335和5595係由其他人透過更改原本變種的內容所發佈出來的變種,然而當中存在的編程錯誤比原本變種更多,4335變種可以觸發但無法感染檔案,而5595變種則連載入到RAM都不行還會當掉系統。
進階資料[]
下表列出所有變種的TSR碼在RAM所佔用的空間:
變種 | RAM使用(位元組) |
---|---|
CriCri.4289 | 8,608 |
CriCri.4300 | 8,624 |
CriCri.4335 | 8,688 |
CriCri.4616 | 9,248 |
CriCri.4690 | 9,408 |
CriCri.5595 | ? |
MD5:
變種 | MD5雜湊 |
---|---|
CriCri.4289 | d6f99976388a30a878613a37454dbfe2
|
CriCri.4300 | 6b7b05d341466c23014ffa20096e58d8
|
CriCri.4335 | c0e307c5d415290f5c193414db081293
|
CriCri.4616 | ce45700d332784102d0495dffb1444a2
|
CriCri.4690 | bd909dc1157b00fa721afdada76a02c7
|
CriCri.5595 | 3079fab57c7f365f6751ad225e17ee55
|
觸發行為[]
在特定日子執行任何受感染的檔案(包括系統啟動時載入COMMAND.COM),此病毒在畫面中間顯示綠色的文字並當掉系統。
CriCri.4289、4300、4616和4690[]
這些變種在6月4日觸發。
CriCri.4289和4300:
Cri-Cri ViRuS by Griyo/29A ...Tried, tested, not approved.
CriCri.4616和4690:
Cri-Cri ViRuS by Griyo96 ...Tried, tested, not approved.
CriCri.4335和5595[]
這些變種在2月3日觸發,它們顯示以下文字:
Yulgok Virus 2!! Yulgok middle school Virus.. Viructive in
然而上述文字並非完整,因為修改者可能沒有注意到程式碼限制58個字元數,原本要顯示的文字為:
Yulgok Virus 2!! Yulgok middle school Virus.. Viructive in Kangreung! Yulgok virus Version 1.5
其他資料[]
事實上此病毒會避過很多檔案,也就是只感染小部分檔案。
參考來源[]
- CriCri在VX Heaven上的變種清單