FANDOM


SSR,又稱Stainless Steel Rat,是在MS-DOS上運作,結構非常複雜且有一定危險性的TSR檔案寄生加密病毒。

這個病毒的感染大小有18,273個位元組,在DOS系統而言,這個感染大小可以說是非常大,因為當時很多的應用程式的功能還沒令其可以發展到這個大小。

此病毒帶有4個解密程式,為巢狀層次。本體的大小有18,273個位元組,而其餘的約7,000位元組則是這個解密程式和多餘迴圈的程式碼。這18,273位元組的內容包含病毒本身以及3個驅動引擎,Random Encryption Syntezator(隨機加密合成器,RES)、Stainless Steel Rat Mutation Engine(SSRME)以及Metamorphic Mutation Engine(MME)。

感染行為编辑

執行後將自己解密,然後使用INT 21h感染任何執行的應用程式,此病毒將加密的病毒碼放置到檔案後尾,再將一個Jump指令放置到檔案的開頭,用以呼叫其多形解密器。在執行時會耗用一段相當長的時間,因為要經過解密程式、病毒TSR安裝過程和一些多餘的迴圈。然而不是每一個執行過的程式都會受感染。

為防止被追蹤到,病毒在記憶體會直接修改自己所在的記憶體區塊同時準備另一塊放置自己的TSR碼。在自己移到新的記憶體區塊後,就將原本的設為Null,如此一來在MEM檢視下就看不到病毒的蹤影。然後在新的記憶體區塊中,將INT ABh的處理程序加密,再將其擁有者設成Null,最後將之前設成Null的區塊以「#」號覆寫。

在執行程式時,病毒修改INT 21h使DOS核心呼叫INT ACh來取得權限。

此病毒還帶有大量INT 1和3的指令,用以停用除錯器的功能,其中INT 3的一個指令,CD 03,會將指令指標指向一個未指定的地方。

此病毒在INT 6放置一個處理程序,開始位址0EC5h,令受感染的程式跑進無效的指令,可能會導致系統癱瘓。

此病毒會偵測以下副檔名,並以INT 21h/AH=41h指令刪除這些檔案:

BAS
ICO
PAS

完成後用以下字串回值:

Ш И Т !

翻譯(保加利亞文):

媽的!

進階資料编辑

此病毒在記憶體佔用51,296位元組的空間。

MD5:

78c7b906dd940694a4f7f2755582af11

觸發行為编辑

此病毒存在數在觸發行為。

反追蹤INT ABh编辑

如果病毒偵測到INT ABh被追蹤,它就損毀CMOS儲存的校對碼,並顯示以下訊息和當掉系統:

И долго он INT`ы трассировал...
Теперь я грустный терминал!

翻譯(俄文):

他追蹤了這麼久INT
現在我是一個低落的終端!

檔名偵測编辑

如果執行的檔案檔名的第2和第3個字元為以下:

ID

例如「AIDSTEST」,病毒就顯示以下訊息並當掉系統:

А не поpa ли г-нy Лoзинcкoмy нa пeнcию!

翻譯(俄文):

還沒到Lozinsky先生退休的時候!
Ssr detect virus

Fingers被SSR偵測到

偵測病毒和防毒軟體编辑

SSR不只是反病毒,也是反防毒。

它會偵測部分TSR防毒軟體以及部分的病毒,例如FingersJerusalemOneHalf、Sunday、Tumen等,FLUSHOT也是會受到偵測的一個。如果找到,除了感染它們,還會顯示置中的訊息(見右邊的附圖),以及將背景顏色由黑至紅循環,播放警報聲並當住系統。

搖動畫面编辑

在病毒載入記憶體後的23分鐘起,它透過干擾視訊輸出埠搖動畫面。

SSR copyright

SSR的版權訊息

檔案處理觸發编辑

病毒會設置一個計數器,由它載入記憶體後的15分鐘起,如果執行過的檔案數量等於50,就顯示一個全螢幕的ASCII圖像(見本頁頂),當中的「REVENGE」會閃動,而下面的文字會不停轉換顏色。

按下ESC鍵後,則顯示它的版權訊息,同時隨機挑一個磁區並將其格式化。

這時候系統已經癱瘓,不會再接收鍵盤輸入,故必須強制重啟才可以繼續使用電腦。

其他資料编辑

在原本包裝的病毒樣本執行後,其大小會改變,而且不能再正常執行,如果使用者在感染任何檔案前就重啟電腦,那麼它就沒機會散佈。

此病毒包含以下加密的內部字串:

Hi Hacker! Welcome to Hell

參考來源编辑

  1. 完整分析來自MalwareUp用戶flightcpuboy