Casino是在MS-DOS上運作而且有一定危險性的TSR檔案寄生病毒,感染大小可變。
感染行為[]
此病毒在進入記憶體時先感染COMMAND.COM和建立「偽COMMAND.COM」,為病毒本身,之後它會開啟「偽COMMAND.COM」,再感染任何執行的DOS應用程式,同時額外感染1或2個同類型的檔案。在「偽COMMAND.COM」的TSR碼載入到RAM後病毒會將這個檔案從硬碟中移除。
這個病毒不能感染超過64KB的檔案,所以在MS-DOS 7.1,它無法感染COMMAND.COM(94,292位元組或92.08KB)。
在軟碟機放有讀寫保護的磁片時,這病毒會使用INT 13h來偵測,並移除唯讀屬性來感染當中的檔案。
雖然這個病毒會自我隱藏,但因感染大小可變,部分受感染的檔案仍能被觀察到有數個位元組的變化。
進階資料[]
此病毒在記憶體佔用3,216個位元組的空間。
MD5:
3468be4c2d90bd6f1c15314bc896f5e2
觸發行為[]
在1、4或8月15日時執行受感染的檔案,此病毒會將硬碟中的檔案配置表(FAT)載入到RAM並將原本的損毀(但失敗),然後顯示老虎機遊戲。使用者有5次機會,只有在畫面中擲到三個英鎊符號才可以保住資料;但如果5次都沒中,又或者擲到三個「?」的話,那麼硬碟的資料就取不回來。之後會把系統當掉。
因為COMMAND.COM已被感染,在觸發當日重新啟動電腦多少次,這個畫面還是會在系統啟動後顯示。
其他資料[]
透過UNDELETE可以找到刪除了的偽COMMAND.COM,大小為2,330個位元組,附加了隱藏的屬性。檔名如下:
COMMAND .COM
檔名中附有一個空白字元,在DOS內使用者基本上不能存取這個檔案。
此病毒包含以下內部字串:
*.COM C:\COMMAND.COM COMMAND .COM ????????COM