| 需要關鍵資料 | 本條目部分內容因為缺少關鍵資料而無法擴充。如你持有或透過實驗取得相關資料,請透過編輯或留言以協助更新有關內容。 |
|---|
Barrotes,西班牙文的Bars,即「間條」,是在MS-DOS上運作且非常危險的TSR檔案寄生病毒。在畫面上顯示間條或/和摧毀MBR是這個病毒的主要特點。
有17個已知變種,另有1個變種同屬此族。最小的感染大小為840個位元組而最大的有1,874個位元組。
感染行為[]
載入到記憶體後先感染位於C:最上層的COMMAND.COM,然後使用INT 21h以感染任何執行的應用程式。
大部分的變種都不感染帶有以下檔名的檔案:
MSAV MWAV
Barrotes.840和849[]
這些變種分別在1994年3月和7月被發現流出,它們只感染DOS應用程式。
Barrotes.1127[]
此變種流出時間不明。在開始時不會感染COMMAND.COM,而是感染F:\LOGIN.EXE。會感染任何格式的應用程式,而且它不會檢查執行的檔案是否曾被感染過,故此會重複感染,使檔案越來越大。
不過這變種不感染任何大於64,409個位元組的檔案。
Barrotes.1194、1222、1292、1310、1447、1463、1874和Tecla.1303[]
部分變種在以下的時間被發現流出:
| 變種 | 日期 |
|---|---|
| Barrotes.1194 | 1995年7月 |
| Barrotes.1310(原始變種) | 1992年12月 |
| Barrotes.1447 | 1996年7月 |
| Barrotes.1463 | 1996年1月 |
| Barrotes.Tecla.1303 | 1994年2月 |
這些變種會感染任何格式的應用程式,而且有機會損毀這些檔案,使其在執行時發生錯誤,繼而當掉系統。
它們都會在載入記憶體時先感染C:\COMMAND.COM,Barrotes.1310.b、j和k除外。
第一個執行受Barrotes.1292感染的檔案會顯示以下文字:
Iniciando Filo-Windows 95 Virus by...
翻譯(西班牙文):
正在執行檔案-Windows 95 病毒來自...
Barrotes.1310.b和j有反偵錯程式偵測,當它們在記憶體時如果使用者試圖對受感染的檔案進行偵錯,就把系統當掉。
Barrotes.1310.d和e使用i386指令來將自己放置到記憶體。
Barrotes.Tecla.1303是加密了的變種,載入記憶體時先感染同一資料夾內的COMMAND.COM,而非絕對路徑。也就是C:\COMMAND.COM不一定會被感染,但如果目前位置是在最頂層的話,它被感染是遲早的事。
Barrotes.1461[]
這個變種在載入RAM時先感染C:\DOS\KEYB.COM,然後感染任何執行的應用程式。與Barrotes.1127相似的是,它會重複感染檔案。
進階資料[]
下表列出所有變種在記憶體所佔用的空間。
| 變種 | 使用量(位元組) |
|---|---|
| Barrotes.840 | 1,600 |
| Barrotes.849 | 1,600 |
| Barrotes.1127 | 1,600 |
| Barrotes.1194 | 1,600 |
| Barrotes.1222 | 1,600 |
| Barrotes.1292 | 1,552 |
| Barrotes.1310(A、B、D、I、J和K) | 1,600 |
| Barrotes.1310.e | 3,200 |
| Barrotes.1447 | 1,712 |
| Barrotes.1461 | 1,872 |
| Barrotes.1463 | 1,728 |
| Barrotes.1874 | 2,304 |
| Barrotes.Tecla.1303 | 1,632 |
MD5:
| 變種 | MD5雜湊 |
|---|---|
| Barrotes.840 | 117cfad8314e61316765d75b3d0e7760
|
| Barrotes.849 | 0e465865ece2ddd851f6e6b6449dbdfe
|
| Barrotes.1127 | 5a252c463b98738a1d171b24a219c93a
|
| Barrotes.1194 | 4d845737aa1f41024521b4346299e4cb
|
| Barrotes.1222 | d1da67a83dd658a597061fe2e876a66d
|
| Barrotes.1292 | d073a14dd5031fda4ec65f724c8fc686
|
| Barrotes.1310.a | 9e5d3ef878d4320a20b5c2d354c31d20
|
| Barrotes.1310.b | f12af07ab9494f32a572b2895843004d
|
| Barrotes.1310.d | 330fe8d07aee7e47bfd22ced738c060e
|
| Barrotes.1310.e | 8b273c57d2b483fd2024eba5db970e5d
|
| Barrotes.1310.i | 5798e64ef4663103ba47f59dee56ceda
|
| Barrotes.1310.j | 889170ab1d7eb361a2aaf311044d4a93
|
| Barrotes.1310.k | 66df96dc1310b277f0198c169fc57f7d
|
| Barrotes.1447 | d428c706ec05034d9f2a6fce651b5fd1
|
| Barrotes.1461 | d5622e5e252bd99048bdb710cfb60b64
|
| Barrotes.1463 | bd7021b8678f5fef15ccdf15056951b8
|
| Barrotes.1874 | 8541db9bce4e181324d0c8438f43543a
|
| Barrotes.Tecla.1303 | dbc50ec1b4f6530143c1443a52fad6a2
|
觸發行為[]
觸發時,此病毒將這部分的程式碼解密,並開始使用INT 1Ch顯示一些直線,以及在畫面左上角顯示以下文字:
Virus Barrotes por OSoft
翻譯(西班牙文):
來自OSoft的Barrotes病毒
部分變種更會將MBR洗掉,使系統在重啟後無法載入。
Barrotes.849觸發的畫面
Barrotes.840和849[]
這兩個變種在1月5日觸發,顯示灰色的直線並損毀MBR。
Barrotes.1127和1292[]
這些變種沒有觸發內容的程式碼,故不會觸發。
Barrotes.1194[]
這個變種預定在每月1日觸發,顯示直線和損毀MBR,但失敗。
Barrotes.1222[]
這個變種在5月25日觸發,它不會顯示任何直線或文字,直接將MBR損毀,還會減慢系統的處理速度。
Barrotes.1310.a、b和j[]
這些變種在1月5日觸發,顯示會變色的直線和損毀MBR(變種J除外)。
對於Barrotes.1310.b,觸發後接收到鍵盤輸入更會癱瘓系統。
Barrotes.1310.d和e[]
這些變種在7月20日觸發,顯示會變色的直線,和在左上角顯示以下文字:
Virus MIKELON por MSoft
Barrotes.1310.i[]
這個變種在5月23日觸發,顯示會變色的直線,和在左上角顯示以下文字:
Araceli Escobar=ENANA+PUTA
Barrotes.1310.k[]
這個變種在5月23日觸發,顯示會變色的直線和損毀MBR,和在左上角顯示以下文字:
Virus SuperDepor vK&S
除錯後觸發的Barrotes.1463
Barrotes.1447和1463[]
這些變種在一個無效的日期觸發,然而可以在除錯後找到其觸發行為。它們會在畫面頂端顯示以下文字以及損毀MBR:
ViRUS de G.D.R. (c)PutoSOfT, NO HAY NADA COMO G.D.R. ¿¿ VERDAD ?? ;-)
翻譯(西班牙文):
來自(c)PutoSOfT的G.D.R病毒,像不像G.D.R呢?;-)
同一時間,整個畫面的文字會不停的向左移動。
而該無效的日期是在每月的第34日觸發,而原本預定的日子為為22日,卻在程式碼中誤寫成22h(十進位的34),又或者在編寫日期解碼時誤用十進制方式。
Barrotes.1461[]
這個變種在3月3日觸發,一旦執行受感染的程式,它會損毀硬碟上的磁區,顯示以下的訊息並當掉系統:
This is virus RETRETE! Don't attempt to recover your disk yourself!
翻譯(英文):
這是RETRETE病毒! 別妄想可以自行復原你的硬碟!
Barrotes.1874[]
這個變種會播放音樂。但目前未找到其觸發條件。
Barrotes.Tecla.1303[]
這變種在9月23日觸發,它會使用INT 16h以干擾鍵盤輸入。
變種[]
Barrotes總共有18個變種:
- Virus.DOS.Barrotes.840
- Virus.DOS.Barrotes.849
- Virus.DOS.Barrotes.1127
- Virus.DOS.Barrotes.1194
- Virus.DOS.Barrotes.1222
- Virus.DOS.Barrotes.1292
- Virus.DOS.Barrotes.1310(A、B、D、E、I、J、K)
- Virus.DOS.Barrotes.1447
- Virus.DOS.Barrotes.1461
- Virus.DOS.Barrotes.1463
- Virus.DOS.Barrotes.1874
- Virus.DOS.Barrotes.Tecla.1303
其他資料[]
Barrotes惡作劇程式執行時的樣子,除了擋著使用者的視線就沒有別的了。
由BERTOV1編寫的惡作劇程式Hoax.DOS.Barrotes,一旦執行即會觸發,使用INT 1Ch顯示橙色的直線,但不會進行任何對系統有害的行為,就純粹妨礙使用者的視線。
Piolin,又稱為Barrotes.1176,另一擁有類似行為且相當危險的DOS病毒。
Barrotes.840包含以下內部字串:
c:\command.com OS
Barrotes.849和1292包含以下內部字串:
c:\command.com SO
Barrotes.1127包含以下內部字串:
f:\login.exe l9(還有2個空格)
Barrotes.1194包含以下內部字串:
c:\command.com l7XS
Barrotes.1222包含以下內部字串:
lZ(ASCII ADh和ASCII DEh)
Barrotes.1310(A、D和E)包含以下內部字串:
c:\command.com l7SO
Barrotes.1310.b包含以下內部字串:
Galiza Xakobeo l7SO
Barrotes.1310.i包含以下內部字串:
c:\command.com l7MV
Barrotes.1310.j包含以下內部字串:
Terror Again 97 l7SO
Barrotes.1310.k包含以下內部字串:
SuperDepor vK&S l7SO
Barrotes.1447和1463還包含以下內部字串:
c:\command.com loXX
Barrotes.1461包含以下內部字串:
c:\dos\keyb.com
Barrotes.1874包含以下內部字串:
c:\COMMAND.com
Barrotes.Tecla.1303包含以下加密的內部字串:
C:\COMMAND.COM Sta Tecla (MAD1) ST
參考來源[]
- Barrotes在F-Secure Labs以及Online VSUM上的描述
- Barrotes在VX Heaven上的變種清單