FANDOM


Da non confondersi con AIDS o AIDS II.

Virus.DOS.VCL.Olympic.1440, comunemente chiamato OlympicAIDS, è un virus non residente nella memoria per MS-DOS.


ComportamentoModifica

OlympicAIDS è un normale infettatore di file .com, anche se il metodo da esso utilizzato, che consiste nel cercare il prossimo file da infettare, non è molto efficiente. Una volta che il virus ha infettato un gran numero di file nell'hard disk, potrebbe richiedere mezzo minuto per trovare un nuovo file infettabile, il che rende il virus più facile da individuare.

Quando il virus trova un file da infettare, per prima cosa controlla le sue dimensioni per assicurarsi che il codice del virus non faccia crescere il file oltre il limite dei file .com di 64KB, poi ispeziona i primi byte della potenziale vittima per vedere se essa contiene già un jump construct simile che verrà inserito dal virus all'inizio del file. Se tale struttura è individuata, il virus considera il file già infetto e cerca un'altra vittima.

Il virus non controlla i marcatori 'MZ' o 'ZM', utilizzati per distinguere i file .exe; ciò significa che il virus corromperà file .exe rinominati con una estensione .COM; quando tale file è eseguito dopo l'infezione, il virus potrà diffondersi ancora, ma non potrà trasferire il controllo al file originale. In molti casi il computer andrà semplicemente in crash.

L'infezione vera e propria consiste nell'immagazzinare i tre byte del file alla fine del file e rimpiazzarli con un jump ad una routine di decodifica, che viene inserita alla fine dal file sempre dal virus. Una versione criptata del codice del virus è immagazzinato alla fine del file, prima della routine di decodifica. Il virus usa una singola chiave pseudo-casuale, utilizzata per criptare il codice, basata sul tempo di infezione.

OlympicAIDS è capace di infettare i file che hanno l'attributo DOS read-only abilitato. Esso ripristina anche le marche temporali dei file infetti; tuttavia, essi crescono in dimensioni di 1440 byte, cosa che può essere vista nella lista dei file contenuti nella directory.

PayloadModifica

Il virus si attiva a caso dopo il 12 febbraio, giorno in cui le Olimpiadi invernali iniziarono nel 1994. All'attivazione, il virus mostra i cerchi olimpici ed alcuni commenti volgari circa i giochi e le le mascotte, dopodiché sovrascrive i primi 256 settori del primo hard disk nel sistema. Durante la routine di distruzione, il virus disabilita le combinazioni Ctrl-C e Ctrl-Interr. Alla fine, il computer è bloccato. Quando un file infetto è eseguito, il virus decodifica il suo codice, per poi ricominciare a cercare file vittima adatti, iniziando dalla root directory del drive attuale.

Altri dettagliModifica

La maggior parte del codice somiglia ai virus creati dal generatore apposito VCL, incluso un breve messaggio standard VCL alla fine del virus, mai mostrato. In questo virus, la nota ha la scritta "Olympic Aid(s) '94 (c) The Penetrate". Questo virus è probabilmente basato su un codice creato con VCL, modificato per evitare che alcuni degli antivirus principali lo rilevino.

VideoModifica

Virus.DOS.VCL.Olympic02:05

Virus.DOS.VCL.Olympic.1440

Virus.DOS.VCL.Olympic.1440 su PC virtuale

Virus.DOS08:13

Virus.DOS.OlympicAIDS

Virus.DOS.VCL.Olympic.1440 su PC fisico

Ad blocker interference detected!


Wikia is a free-to-use site that makes money from advertising. We have a modified experience for viewers using ad blockers

Wikia is not accessible if you’ve made further modifications. Remove the custom ad blocker rule(s) and the page will load as expected.