Angelina: 病毒的天使?
Benjamin Sidle
Sophos Plc
B85506064 楊國正
在其他驅動磁區病毒還沒被列入
”殺傷力大”的明單時:Angelina已經散步到全世界。事實上,大多數的病毒是驅動磁區病毒,傳遞的最主要方法是從使用之前未掃瞄過的感染磁片驅動。
一個沒趣的特性
除了一個可區分的特性外,這不值得注意的病毒包含普通幼稚型式的訊息,訊息是從不顯示的
:
Greetings for ANGELINA!!!/
by Garfield/
Zielona Gora
這訊息的最後一行也出現
”Zielona Gora”,Poland的一個城市名字。
第一步吞噬
當被感染的磁碟片或硬碟被驅動時,病毒降低一
Kilobyte可使用記憶體,改變在ROM BIOS資料區域裡記憶體位置0000:0431h的值。然後拷貝它自己到這保留的區域。
下一步,
Angelina儲存原來的13號中斷處理的位置到程式碼所在的地方。中斷向量表因此被改變,在保留的區域內使13號中斷處理指到一個新的處理器。最後,病毒叫19號中斷,重開始驅動程式,但這次使用新的13號中斷處理。
到目前為止,無論何時試著讀磁區
1,邊0,圓柱0的磁碟片都會被攔截。其他的讀檔和中斷13號函式直接傳到原來的13號中斷處理器。
感染
一旦讀啟動磁區時被攔截,病毒用原來的
Int13h讀磁區和檢查是不是被感染,經由C681h比較位址00F0h的字.假如這部磁碟機沒有被感染,這病毒將感染它.
如果是一張磁碟片,原來的啟動磁區拷貝到根目錄的最後磁區.如果是一部硬碟機,原來
Master Boot Sector拷貝到sector2,side0,cylinder0,利用那個否則會“dead“空間的區域.然而,假如這部磁碟片已經被感染,將祕密的讀,並且指到拷貝的原始磁區.
結論
Angelina
沒有值得注意的特色.它只是來宣傳,努力也並不比其他是'wannabe'的多.
雖然這病毒是並不會帶來破壞性的
payload.檢查進來的磁碟片是否有病毒的重要性是不能忽略的:只費幾秒鐘掃描一部磁碟機,可能左右PC的完整工作。
Stoned.Angelina
Angelina
別名
( 代號 ):Angelina
類型:
潛藏性記憶常駐主要啟動磁區病毒.
感染:
硬碟機的主要啟動磁區,磁碟片的啟動磁區.
在磁碟機的自己認知:
在位置00F0h的字,假如這區是感染的就會設為C681.
於記憶體的自己認知:
一點也沒有.
Hex
型式:BB330080/8750/7D22/4B75F8A1
4C00/26A3/8401A14E0026A386
攔阻:
板機:
一點也沒有.
移除:
在乾淨的系統狀況下,使用FDISK/MBR指令.
病毒告示:Stoned.Angelina/ webmaster@virusbtn.com
(C)
;1998病毒告示Ltd.