FANDOM


Lokjaw是在MS-DOS上運作而且相當危險的TSR病毒,部分為同儕檔案偽裝而其餘的為檔案寄生。此病毒主要的的觸發行為是將MSAV和MWAV刪除或停用。

有30個已知的變種,分6個版本(以下為代表):

  • Virus.DOS.Lokjaw.482
  • VIrus.DOS.Lokjaw.512
  • Virus.DOS.Lokjaw.804
  • Virus.DOS.Lokjaw.874
  • Virus.DOS.Lokjaw.893
  • Virus.DOS.Lokjaw.1041

另外有11個變種屬於此族,見下面的完整清單。

感染行為编辑

Lokjaw.482...808、890、893、894和898编辑

病毒進入記憶體後會偵測任何執行的EXE應用程式,然後放置一個同名的COM格式檔案。如果使用者再次執行這些程式時不鍵入副檔名,那麼病毒就會先被執行。

Lokjaw.804和808會將這些新增的偽裝檔案設成系統隱藏,在一般情況下不會被執行,但能夠透過AUTOEXEC執行。

Lokjaw.874和877编辑

這兩個變種更為危險,一執行就將所有DOS應用程式(COM)的副檔名改為「CON」,然後利用原本的檔名放置自己進去。然而這些新增的偽裝檔案亦會設成系統隱藏。

例如原本的檔案:

PROGRAM.COM

受感染後:

PROGRAM.CON(原本的檔案)
PROGRAM.COM(病毒)

Lokjaw.1041、1046、1047、1048、1050、1052、1053和1058编辑

這些是檔案寄生的變種,它們使用INT 21h感染任何執行的DOS應用程式。被Lokjaw.1041感染的檔案將無法正常工作並當掉系統。

進階資料编辑

以下為所有變種在記憶體時所佔用的空間。

變種 使用量(位元組)
Lokjaw.482 4,096
Lokjaw.484 4,096
Lokjaw.493(A和B) 4,096
Lokjaw.495 4,096
Lokjaw.499 4,096
Lokjaw.501 4,096
Lokjaw.507 4,096
Lokjaw.512 1,280
Lokjaw.518 4,096
Lokjaw.520(以及B) 4,096
Lokjaw.522 4,096
Lokjaw.571 4,096
Lokjaw.804 4,096
Lokjaw.808 4,096
Lokjaw.874 16
Lokjaw.877 16
Lokjaw.890 4,096
Lokjaw.893 4,096
Lokjaw.894 4,096
Lokjaw.898 4,096
Lokjaw.1041 4,096
Lokjaw.1046 4,096
Lokjaw.1047 4,096
Lokjaw.1048 4,096
Lokjaw.1050 4,096
Lokjaw.1052 4,096
Lokjaw.1053 4,096
Lokjaw.1058 4,096

MD5:

變種 MD5雜湊
Lokjaw.482 4116f7cbb941715a158778cef9e364bd
Lokjaw.484 d7878470a1a8d593e07405c76203db7f
Lokjaw.493.a 67692d7c2b42b82544a69ec032173867
Lokjaw.493.b 489d418f52c3f8cf12aa9d8e6b7c8af4
Lokjaw.495 77b5cf999e854254efdc4e6a7ac79d32
Lokjaw.499 095a7d3963c13b2d33f01bb67fc25615
Lokjaw.501 e3a7b65ca03a21fcf296f4b397bcdf7e
Lokjaw.507 7765255d9996fe4a2d796e548a7e7a46
Lokjaw.512 fbeb8119129f42ad03c512474ec4be08
Lokjaw.518 1f210c273d7a5567392312bcda6429cb
Lokjaw.520 6cf892517e3cdd3788b6bd4decae0585
Lokjaw.520.b 3196b5e71ed2ae12d9f3bbbcaae2d694
Lokjaw.522 b656d6f7066f4f739398446538c98760
Lokjaw.571 1fb18e85b27a51c0fa6ed766f9c232fd
Lokjaw.804 1bc3b580cefc9661e84022272e6717f5
Lokjaw.808 cf699a326a5e8a1709d630e118650ed1
Lokjaw.874 725573601e31bf7913d7f9156c5a626b
Lokjaw.877 acf1ce44079359e2edc2971246b93ace
Lokjaw.890 2c33420103d6e57d18dd402ddc0a4b42
Lokjaw.893 f623bed4a0ec38a68c30a273a8b83fbf
Lokjaw.894 dc20d0c91fbefc3660893358a59a3ad1
Lokjaw.898 ecf8129d97166eabafd8ebd1798e1d03
Lokjaw.1041 43e9783c090cee9025f8fcb45b951609
Lokjaw.1046 348df3fd35c41957a383119c9d50b444
Lokjaw.1047 c22ebd680c7eeeed818123e7fc8cde08
Lokjaw.1048 e786d5ede4716eb16309950fe699367d
Lokjaw.1050 d1048f82e8a512e1598789aedfee897e
Lokjaw.1052 156f9891111f44e6667a987e0396788c
Lokjaw.1053 f7beec85ff9fbeeaa21d38c6974a48b3
Lokjaw.1058 7028fbd0d32c9d541dedc2d4bfcab850

觸發行為编辑

執行MSAV或MWAV都會觸發。

Lokjaw.482...507、518...571编辑

這些變種會當掉甚至癱瘓系統。

Lokjaw.512编辑

除了當掉系統,更會將檔案配置表(FAT)損毀。

Lokjaw.804、808、890、894、1041...1058编辑

以兩條橫白線將畫面變黑,然後將執行的MSAV或MWAV刪除並當掉系統。

Lokjaw.874和877编辑

這些變種無需等待執行MSAV或MWAV,一執行就觸發,刪除以下絕對路徑的檔案並當掉系統:

C:\MSAV.EXE
C:\MWAV.EXE
C:\VSAFE.COM(失敗)

因為程序次序問題,VSAFE.COM被改名VSAFE.CON後和新增偽裝檔案前執行刪除程序,令檔案沒有被刪除。

之後更會損毀CMOS資料,令所有硬體設定都遺失。

重啟後系統可能會無法辨認已被病毒取代的COMMAND.COM,而原本的檔案被改名為「COMMAND.CON」。

Lokjaw.893和898编辑

以兩條橫白線將畫面變黑,但不刪除程式。

變種编辑

Lokjaw總共有41個變種:

  • Virus.DOS.Lokjaw.482
  • Virus.DOS.Lokjaw.484
  • Virus.DOS.Lokjaw.493(A和B)
  • Virus.DOS.Lokjaw.495
  • Virus.DOS.Lokjaw.499
  • Virus.DOS.Lokjaw.501
  • Virus.DOS.Lokjaw.507
  • VIrus.DOS.Lokjaw.512
  • Virus.DOS.Lokjaw.518
  • Virus.DOS.Lokjaw.520(還有B)
  • Virus.DOS.Lokjaw.522
  • Virus.DOS.Lokjaw.571
  • Virus.DOS.Lokjaw.804
  • Virus.DOS.Lokjaw.808
  • Virus.DOS.Lokjaw.874
  • Virus.DOS.Lokjaw.877
  • Virus.DOS.Lokjaw.890
  • Virus.DOS.Lokjaw.893
  • Virus.DOS.Lokjaw.894
  • Virus.DOS.Lokjaw.898
  • Virus.DOS.Lokjaw.1041
  • Virus.DOS.Lokjaw.1046
  • Virus.DOS.Lokjaw.1047
  • Virus.DOS.Lokjaw.1048
  • Virus.DOS.Lokjaw.1050
  • Virus.DOS.Lokjaw.1052
  • Virus.DOS.Lokjaw.1053
  • Virus.DOS.Lokjaw.1058
  • Virus.DOS.Lokjaw.Firefly(5個變種)
  • Virus.DOS.Lokjaw.Kenson(2個變種)
  • Virus.DOS.Lokjaw.Pfeiffer.1203
  • Virus.DOS.Lokjaw.Scramble(3個變種)

其他資料编辑

如果已經有一個變種在記憶體內,執行另一個變種會將原本的拿下並放置新的進去。

Lokjaw.482...522包含以下內部字串:

EXE
COM

Lokjaw.493.a亦包含以下內部字串:

loulou

Lokjaw.493.b亦包含以下內部字串:

Arclight

Lokjaw.495亦包含以下內部字串:

JKLS CAT

Lokjaw.499亦包含以下內部字串:

Good Night

Lokjaw.501亦包含以下內部字串:

SLEEPWALKER
MSDOS6

另一個版本的Lokjaw.501包含以下內部字串:

PET CEMETERY
MSDOS6

但因為多出的「Y」字會令執行發生錯誤。

Lokjaw.507亦包含以下內部字串:

Starry Night
Bornio Baby

Lokjaw.512亦包含以下內部字串:

[TAIPEI]11-30-1998/BlackJack-XEXE

Lokjaw.518、520、520.b和522亦包含以下內部字串:

Black Knight
Tempest - _ Of Luxenburg

Lokjaw.571包含以下內部字串:

[ Its the KenSON III virus ]
For My Very Best Friend
By Lobo 435 of Covina CA...

Lokjaw.804、808、890和894包含以下內部字串:

EXE
COM
Lokjaw-Zwei

Lokjaw.874和877包含以下內部字串:

The Chomper virus by AITH viral Dept.
*.COM
Lokjaw-Routine
C:\dos\mwav.exe
C:\dos\msav.exe
C:\dos\vsafe.com

Lokjaw.893和898包含以下內部字串:

EXE
COM
Lokjaw-Drei

Lokjaw.1041、1046、1047、1048、1050、1052、1053和1058包含以下內部字串:

CDMZ

Lokjaw.1047和1052亦包含以下內部字串:

KenSON IV Infection Module  VIRUS
Proto-T Variant  94/Lobo/435
Thanks To Brian! - BF

參考來源编辑

  1. Lokjaw在VX Heaven上的變種清單