HLLO.AIDS是在MS-DOS上運作而且非常危險的檔案覆寫病毒,原始大小為13,847個位元組而感染大小有13,952個位元組。這個病毒以高階編程語言編寫,語言為Turbo Pascal版本3.01a。
在1989年首次發現這個病毒,它是由Corrupted Programming International(CPI)的成員開發。
這個病毒有2個版本,一個為演示版本(即不感染檔案)而另一個為真實的。
感染行為[]
此病毒是首個會透過DOS內的同名同儕檔案執行機制的漏洞感染檔案,對於兩個同名但不同格式的檔案,如果其中一個是COM格式,透過無副檔名指令執行程式的話,COM檔案必定為第一個執行。
以下的字串存在於被覆寫的檔案中:
This File Has Been Infected By AIDS! HaHa!
因為它不檢查檔案大小,感染比自己小的檔案就會看到感染後的大小為13,952個位元組,而且修改時間亦會被改為感染的時間。
被覆寫的檔案不可能復原,只能以乾淨的備份取代它們。
雖然這病毒不會留在記憶體,但因為執行時對系統有一定影響,在它執行過後再執行部分的EXE應用程式可能會癱瘓系統。
進階資料[]
此病毒執行過後不會留在記憶體中。
MD5:
06e5389543f280afff117d0a62735c02
觸發行為[]
每執行一個受感染的檔案,這個病毒都會從1至10中隨機抽取一個數字,如果抽到7就觸發。
觸發後先顯示一個女性性別符號(ASCII 0Ch)和播放兩次嗶聲,然後顯示全畫面的訊息,當中有一個由ASCII符號拼砌出來的「AIDS」文字,這些文字都以亮白色顯示。之後會將系統當掉。
演示版本顯示的文字以黃色顯示。
其他資料[]
此病毒的原名叫NumberOne。
AIDS-B和AIDS.1992為此病毒的改版。
HLLC.AIDS_II是一隻同儕偽裝病毒,同樣利用DOS的這個漏洞進入系統,但不感染檔案,而是複製自己成為跟執行過的EXE程式的同名COM檔案。
資料來源[]
- HLLO.AIDS在VX Heaven上的源始碼