Angelina: 病毒的天使?

Benjamin Sidle

Sophos Plc

B85506064 楊國正

在其他驅動磁區病毒還沒被列入殺傷力大的明單時:Angelina已經散步到全世界。事實上,大多數的病毒是驅動磁區病毒,傳遞的最主要方法是從使用之前未掃瞄過的感染磁片驅動。

 

一個沒趣的特性

 

除了一個可區分的特性外,這不值得注意的病毒包含普通幼稚型式的訊息,訊息是從不顯示的:

 

Greetings for ANGELINA!!!/

by Garfield/

Zielona Gora

 

這訊息的最後一行也出現”Zielona Gora”,Poland的一個城市名字。

 

第一步吞噬

 

當被感染的磁碟片或硬碟被驅動時,病毒降低一Kilobyte可使用記憶體,改變在ROM BIOS資料區域裡記憶體位置0000:0431h的值。然後拷貝它自己到這保留的區域。

 

下一步,Angelina儲存原來的13號中斷處理的位置到程式碼所在的地方。中斷向量表因此被改變,在保留的區域內使13號中斷處理指到一個新的處理器。最後,病毒叫19號中斷,重開始驅動程式,但這次使用新的13號中斷處理。

 

到目前為止,無論何時試著讀磁區1,邊0,圓柱0的磁碟片都會被攔截。其他的讀檔和中斷13號函式直接傳到原來的13號中斷處理器。

 

 

感染

 

一旦讀啟動磁區時被攔截,病毒用原來的Int13h讀磁區和檢查是不是被感染,經由C681h比較位址00F0h的字.假如這部磁碟機沒有被感染,這病毒將感染它.

 

如果是一張磁碟片,原來的啟動磁區拷貝到根目錄的最後磁區.如果是一部硬碟機,原來Master Boot Sector拷貝到sector2,side0,cylinder0,利用那個否則會“dead“空間的區域.然而,假如這部磁碟片已經被感染,將祕密的讀,並且指到拷貝的原始磁區.

 

結論

 

Angelina沒有值得注意的特色.它只是來宣傳,努力也並不比其他是'wannabe'的多.

 

雖然這病毒是並不會帶來破壞性的payload.檢查進來的磁碟片是否有病毒的重要性是不能忽略的:只費幾秒鐘掃描一部磁碟機,可能左右PC的完整工作。

 

Stoned.Angelina

 

Angelina

別名( 代號 )

Angelina

類型:

潛藏性記憶常駐主要啟動磁區病毒.

感染:

硬碟機的主要啟動磁區,磁碟片的啟動磁區.

在磁碟機的自己認知:

在位置00F0h的字,假如這區是感染的就會設為C681

於記憶體的自己認知:

一點也沒有.

Hex型式:

BB330080/8750/7D22/4B75F8A1

4C00/26A3/8401A14E0026A386

攔阻:

感染為Int13h

板機:

一點也沒有.

移除:

在乾淨的系統狀況下,使用FDISKMBR指令.

 

病毒告示:Stoned.Angelina/ webmaster@virusbtn.com

(C)1998病毒告示Ltd