Jack the Ripper
Benjamin Sidle
B85506064 楊國正
Jackripper
是另外新的啟動磁區病毒名聲傳到歐洲.它是有目的性破壞性的,慢慢地敗壞在這硬碟機的資料.訊息”FUCKEM UP!”和病毒會留下,無疑地是它作家的目標.Jackripper's名字取自於另外病毒內[thankfully!Ed.].的字串.
初始化
當這部個人電腦從一個感染的磁碟片啟動,
Jackripper會感染硬碟機的主要啟動磁區(MBS),然後減少2K的系統記憶体,並且拷貝自己到這剛創造的自由空間.
這病毒後來拷貝自己跳到高的記憶區.然後儲存原來的
Int13h程式位址並且讀病毒碼的第二的區進入記憶体.這是儲存於一部硬碟機 區8,圓柱體0,和於一張磁碟片根目錄的倒數第二磁區(兩者3.5-和5.25-吋).
下一個,它安裝新的
Int13h處理的位置並且讀一部硬碟機原來的MBS(那是儲存在區9,圓柱體0),或者一個磁碟片的驅動磁區(儲存於根目錄的最後磁區).被載入到位置0000:7C00h的記憶体( i.e.,那裡驅動碼將正常地被載入).
感染和腐敗
什麼時候病毒活動於記憶体,它使用祕密技巧避免發現.所有的讀和寫請求重新被直接的保留到原來磁區的拷貝份.病毒碼的第二磁區,或原來主啟動磁區保留的磁區,將同時也被隱藏.在讀請求時,一個充滿零的磁區會傳回來.當要寫入請求時,它不會行動,並且這病毒拷貝它自己的啟動磁區到主要的啟動磁區.這引起光閃亮並且指示期待的行動.
所有其他磁區的讀和寫同時也被攔截.一個寫的事件,有
1024分之一的機會(基於Int 1Ah計時器的低位元組)在寫入完成前磁區裡的兩個字將被交換.假如磁區關切的只是在那裡,病毒擁有驅動碼,或原來的驅動碼被儲存.
假如這感染過程在寫入一張磁碟片失敗後(由
write-protection),進位旗標是清楚的,並且沒有錯誤狀況顯示.
結論
這病毒碼多少是不穩定的。當一張磁碟片被感染,在新的病毒驅動碼之內保留著驅動磁區最後面的訊息;一個隨便的瞥見啟動磁區將顯示沒有什麼差錯.經由相同的流程,分割表包含在硬碟裡新的
MBS.
因為病毒只敗壞寫的東西,最可能受到影響的檔案是資料檔.所以,當已經被感染,那個資料很有可能被敗壞.
Ripper
別名
( 代號 ):JackRipper
類型:
常駐記憶的,主要啟動磁區感染的.
感染:
可啟動媒介的啟動磁區.
在磁碟機自己認知:
新Int13h程式的40位元組.
自己認知於記憶体:
比較磁碟機的內容以印像於記憶.
Hex型式:
8BFE/0E1F/0E07AC34AAAA5781
E7FF0081FFDF005F/75F0/33C0
攔阻:
Int13h的讀和寫請求.
移除:
在乾淨的狀況之下容易移除的.資料恢復困難.
[VB] 病毒告示:Ripper/webmaster@virusbtn.com (C);1998病毒告示Ltd.