HLLO.NumberOne屬於在MS-DOS上運作,相當危險的檔案覆寫病毒,覆寫大小為12,032個位元組。以Turbo Pascal編寫。
有10個變種並分2個版本(以下為代表):
- Virus.DOS.HLLO.NumberOne.a
- Virus.DOS.HLLO.NumberOne.i
感染行為[]
執行受感染的檔案後,此病毒先覆寫第一個未被感染的DOS應用程式,被覆寫的檔案的修改時間會變更為感染的時間。如果存在小於129位元組的檔案,病毒會在嘗試感染的過程發生錯誤而中止,而且後面的任何檔案也不會被感染到。
感染後改變往後的文字顯示顏色,並顯示以下字句:
This File Has Been Infected by Number One! (檔案名稱)infected.
如果已經沒有可感染的檔案,則顯示:
<Smile>
被感染的檔案再也不能運作,而且帶有以下內部字串:
This file has been infected by Number One
不過這個病毒不能感染唯讀屬性的檔案。
NumberOne.a、c、e、f、h和j[]
這些變種在感染檔案後將往後的顯示文字轉為黃色,而且執行任何被NumberOne.a的檔案會當掉系統。
NumberOne.b和d[]
這些變種在感染檔案後先清除一次畫面(僅B),然後將往後的顯示文字轉為亮白色。
NumberOne.i[]
這個變種最為危險,一執行就覆寫目前資料夾內的所有DOS應用程式(如遇到小於129位元組的檔案時還是會中止感染),它會在過程中顯示一系列被感染的檔案的清單,再將往後的顯示文字轉為亮白色。完成後再顯示ASCII符號拼砌的「Smile」。
(檔案名稱) infected. F**K YOU MOTHER !
##### ## #### # ###### ### ### ## ## ## ##### ## ## ## ## ######## ## ## ## ## ## ## ## ##### ## ## ## ## ## #####
帶星號的文字為不雅用語。
NumberOne.k[]
此變種因為編程錯誤而無法感染檔案,但還是會將往後的顯示文字轉為黃色。
進階資料[]
此系列的病毒在執行過後不留在記憶體中。
MD5:
| 變種 | MD5雜湊 |
|---|---|
| NumberOne.a | 788a86f79851951a624801ef8a76967c
|
| NumberOne.b | 4bcbd2a1814470be61926df9461dadfb
|
| NumberOne.c | 067aa565a4881d30edcddbae4224e478
|
| NumberOne.d | 2d4f0ead2be7103b372546482ffc3576
|
| NumberOne.e | 5c460854bab96ab2010ea0b77b16ccc2
|
| NumberOne.f | 48ab2edf9f99d45a006b08bac59ce60d
|
| NumberOne.h | 97713f855f9cf268ae3d83cac15133ec
|
| NumberOne.i | cd397a5420e3716ba535cfb3784c4296
|
| NumberOne.j | 712921993eefb59e6b1ef24526db8544
|
| NumberOne.k | 1a1816da1724005c0f1ec551f9bda7c9
|
變種[]
HLLO.NumberOne總共有10個變種:
- Virus.DOS.NumberOne.a
- Virus.DOS.NumberOne.b
- Virus.DOS.NumberOne.c
- Virus.DOS.NumberOne.d
- Virus.DOS.NumberOne.e
- Virus.DOS.NumberOne.f
- Virus.DOS.NumberOne.h
- Virus.DOS.NumberOne.i
- Virus.DOS.NumberOne.j
- Virus.DOS.NumberOne.k
其他資料[]
HLLO.AIDS.13847有著跟此病毒同一樣的結構。