腆然和赤裸的

Kevin Powis

精密的發表( 出版 )Ltd

B85506064 楊國正

腆然是一個於THE-WILD啟動磁區病毒，那個感染軟體和固定的磁碟機．它包含一個假的隨機的板機，設計釋放一個文句訊息荷載物．

像所有啟動磁區病毒，當一部電腦從一個感染的磁碟機啟動時，腆然是第一個執行的．這引起這firmware載入到磁碟機（第一磁區）進入記憶體並且控制．

然而，有個扭轉：這病毒作家似乎有設計用來愚弄一些反病毒軟體．而非簡單地使用常態地址的記憶字，可被視為懷敵意的，作家潛在地取80x86晶片暫存器的16位元容量優勢並且載入一個超大值進入其中之一．這引起暫存器溢位，它以無形地和自動地被CPU轉換到正確值，而不須程式設計師的干涉。

然而這個技巧對防止一個'known'病毒被偵測，是沒有的，但它確實有助於這病毒逃離不知道關於腆然的掃瞄器。

因它的1KB安全地保留著，把它自己拷貝到記憶體的頂端並且繼續執行．下一個，它取得必需的中斷向量控制．

另外意圖避免某些的反病毒產品以什麼方式出現，腆然使用一個小的副程式而來處理中斷hooking．這副程式依賴某些有預設值的暫存器。作者似乎考慮了很久並且認為額外的工作涉及於做這件事將給他的產物從頭開始來對抗反病毒軟體．

腆然hooks兩個中斷，BIOS磁碟機服務中斷（　Int13h）和鍵盤中斷（　Int09h）．這先前的用來允許病毒複製，後面的，控制trigger和payload．原來的向量被病毒儲存用來過後使用．

中斷處理曾經在適當的地方，腆然需要允許原來的啟動磁區執行，以致於啟動電腦．這被簡單地經由腆然送一Int19h完成，一個很少使用的中斷將會重新啟動系統而不須清除記憶體或者重設中斷向量，允許腆然停留在記憶體和活動．

每一個磁片使用（軟碟或固定式的）最小造成一個Int13h發生，現在被病毒所攔截．腆然允許全部磁片正常活動，除了企圖讀或者寫給任何Master Boot Sector的磁片．

假如一個程式企圖寫啟動磁區--，將摧毀這病毒--腆然會停

然而，假如這磁片沒有感染，腆然使用一個副程式，計算最好的位置，在感染之前暗藏原來的啟動磁區．這個決定目標磁片是固定(fixed)或者軟碟(floppy)．

一個固定式磁碟(fixed disk)，磁區14，頭０，圓柱體０總是使用的．在第一次分割之前，通常會落到一個未使用的磁區，但這並不是保證的．這病毒沒辦法確定那是事件，如此可能發生意外損壞．

假如目標是一個軟式，腆然從這啟動磁區挑取一個允許確認磁片類型的值，它選擇將暗藏原來啟動的磁區，如下：為雙密度3.5-吋磁碟片（　720KB）它選擇區５，和為雙密度5.25-吋磁碟片（　360KB）它由此可見選擇區２．為全部高的密度磁碟片類型（　5.25-吋1.2MByte或者3.5-吋

1.44MByte），區14被選擇．

腆然由於在磁片上寫啟動磁區與增加相同感染的計時器(counter)，所以才能完成感染過程．這counter在病毒內的01BDh位置，並被其他病毒中斷處理使用。

Trigger and Payload(板機和荷載物)

這病毒鍵盤的中斷處理器(interrupt handler)控制這板機和荷載物．每次按一個鍵或者釋放，這病毒handler將取得控制．它馬上比較感染的counter看是否大於它．假如沒有，控制通過中斷鏈到下一個鍵盤handler．

感染計時器有二個或者更多，腆然依賴在一個基於PC timer的隨機trigger，這給一個50%機會，於每10日周期的ㄧ個小時，payload被釋放．假如這發生，這病毒重設影像顯示器到40-欄模式和unencrypts和顯示一個深藏的訊息，那是：'the UNashamed Naked!'．然後延遲一下，個人電腦會重新啟動。．

全部的，腆然意圖避免一般性發現的標準技巧上採用有趣的變化．它是狂野的，但經由簽名(signature)會容易地偵測和簡單的除去．

〔編輯的註解：這病毒的第一樣本是在一年前，從一個特派員於盧安達Virus Bulletin收到的．自那時以來有了關於這病毒的更多報告﹐它現在有延及到歐洲和北美，特別是中心的africa最普遍.〕

腆然

啟動磁區infector．

啟動磁區在軟碟，MBS在硬碟．

於任何啟動磁區位置01BBh相等於051Ah．

16近位型式：

（這型式將在硬式和軟式磁碟機，與記憶體位於病毒.）

Int13h（　BIOS Disk handler）和Int9h（　Keyboard handler）．

感染的計時器和隨機timer的演算法．

顯示這訊息'the腆然赤裸的！'於40-欄模式．

FDISK／MBR是標準的除去病毒方法．

病毒告示：腆然／webmaster@virusbtn.com

(C)1998病毒告示 Ltd．