MTZ是在MS-DOS上運作的檔案寄生加密病毒。
有4個已知的變種:
- Virus.DOS.MTZ.971
- Virus.DOS.MTZ.1907
- Virus.DOS.MTZ.2501
- Virus.DOS.MTZ.2624
另有5個變種同屬此族。
感染行為[]
在執行時此病毒先檢查DOS系統的版本,如果是5.0或更新的話才載入到記憶體中,同時如果上層記憶體有足夠空間就優先選擇這裡來載入自己。此病毒利用INT 21h經FindFirst或FindNext感染應用程式檔案,亦會感染開啟過的檔案,然而在開啟期間會暫時解除感染。
此病毒亦利用INT 3和15h,INT 3作為執行受感染的檔案時,將加密的病毒碼解密;而INT 15h則用作觸發程序。
MTZ.971和1907[]
這些變種只感染不小於2,048個位元組的DOS應用程式。
MTZ.2501和2624[]
這些變種感染任何大小的EXE應用程式。
MTZ.Pink[]
這些是會自我隱藏的變種。它們感染任何不小於5,120位元組的EXE應用程式檔案。
進階資料[]
下表列出所有變種在記憶體所佔用的空間。
| 變種 | 使用量(位元組) |
|---|---|
| MTZ.971 | ? |
| MTZ.1907 | 4,064 |
| MTZ.2501 | 5,040 |
| MTZ.2624 | 5,344 |
| MTZ.Pink.4510 | 9,184 |
| MTZ.Pink.5081 | 10,256 |
MD5:
| 變種 | MD5雜湊 |
|---|---|
| MTZ.971 | cfedb9a425c7a10c78245de454f1db9c
|
| MTZ.1907 | 3e0ca735650dbfed35b93b8c9bdaf864
|
| MTZ.2501 | c58215f2b28bffde550ba585c0b2d3aa
|
| MTZ.2624 | 46c1207b62eee6e2f16cfbf67d3cdf54
|
| MTZ.Pink.4510 | 864e0ff8a87a6590d8ac1916bbe68141
|
| MTZ.Pink.5081 | 73384d497d59564d5695dc9d292a22de
|
觸發行為[]
MTZ.971[]
不觸發。
MTZ.1907[]
當使用者利用CTRL-ALT-DEL重啟電腦時,此病毒將畫面切換成CGA模式,顯示雜點和以下的文字:
Y.K.K. - (c) M T Z - Italy! Good Luck Today
MTZ.2501[]
此病毒在1月26日觸發,在執行受感染的檔案時先顯示以下文字:
The Ridge Projekt is here..
之後才執行寄主程式。
MTZ.2624[]
此病毒在任何月份的30日隨機觸發,在執行受感染的檔案時會顯示以下文字:
Overkill IV Virus - By MTZ - From Italy - <Hit any key to continue> (Cazzo! Anche oggi un altro 2 di picche, ma si puo' andare avanti cosi' ?)
按任意鍵才會執行寄主程式。
變種[]
MTZ總共有9個變種:
- Virus.DOS.MTZ.971
- Virus.DOS.MTZ.1907
- Virus.DOS.MTZ.2501
- Virus.DOS.MTZ.2624
- Virus.DOS.MTZ.Overkill(3個變種)
- Virus.DOS.MTZ.Pink(2個變種)
參考來源[]
- MTZ在VX Heaven上的變種清單