Death是在MS-DOS上運作的檔案寄生病毒。
有3個已知的變種:
- Virus.DOS.Death.638
- Virus.DOS.Death.725
- Virus.DOS.Death.1001
感染行為[]
除了Death.725,當受感染的檔案執行時,它們會感染一定數量的檔案。
Death.638[]
這個變種每次感染最首1或2個未感染的DOS應用程式,實際感染大小為1,638個位元組,然後觸發。
Death.725[]
這是TSR變種,當病毒在記憶體時會使用INT 21h感染任何執行的DOS應用程式。
Death.1001[]
這是「先非TSR後TSR」的變種,每次執行受感染的檔案即感染最首的一個未感染的DOS應用程式,但會略過COMMAND.COM和小於1,000個位元組的檔案。
在變成TSR後,因為它不使用INT 21h,所以仍然只會在執行受感染的檔案時才傳播。
進階資料[]
下表列出所有變種在記憶體所佔用的空間。
| 變種 | 使用量(位元組) |
|---|---|
| Death.638 | 非TSR |
| Death.725 | 4,512 |
| Death.1001 | 736 |
MD5:
| 變種 | MD5雜湊 |
|---|---|
| Death.638 | 6c7f442db78ebfd49553191d9d7e3dd9
|
| Death.725 | c7f7255b3ae7744eb601a904d927711a
|
| Death.1001 | f36ff07b6a800cc65ded7443fa958722
|
觸發行為[]
Death.638[]
感染檔案後顯示一幅驚嚇的ASCII圖像,並帶有以下文字:
DEATHS HEAD VIRUS Abandon Hope All Ye Who Contract Me
原本的程式會緊接執行,但一般都是會失敗而且有機會當掉系統。
Death.725[]
感染一定數量的檔案後有機會癱瘓系統。
Death.1001[]
以傳遞方式感染到第8個檔案後,執行它會顯示以下訊息:
Bad command or file name
但程式還是有執行到,而且病毒變成TSR,並使用INT 9以等待觸發。它會利用寄主程式的名稱作為TSR名稱來隱藏自己,但如果寄主也是TSR的話,它就會露出馬腳。
Death.1001會利用寄主程式的名稱作為自己的TSR名稱,但如果寄主也是TSR的話,其行蹤就會敗露。
之後如果嘗試以CTRL-ALT-DEL重啟電腦,此病毒會顯示以下文字並當掉電腦,使用者必須冷重啟:
Your PC has lapsed into a higher state of being... D E A T H Please, feel free to cold boot, as nothing has been damaged, it was only a near death experience Your PC should meditate more often, 'cuz with all the evil viruses flowing around neurospace we wouldn't want this to become a real D E A T H [Death] The Attitude Adjuster, VG, 12/02/92
其他資料[]
Death.638包含以下內部字串:
????????COM *.com
Death.725包含以下內部字串:
I`m coming back I will return Svilena S. [Death]
參考來源[]
- Death在VX Heaven上的變種清單