Энциклопедия компьютерных вирусов
Joshi, семейство
Очень опасные стелс
-вирусы, длина 4086 байт (9 секторов). Перехватывают INT 8, 9, 13h, 21h и заражают boot-сектора флоппи-дисков и MBR винчестера при обращениях к ним (INT 13h, ah=2,3,4,0Ah,0Bh). Состоят из двух частей: первая часть содержит тело вируса и хранится в boot-секторе (или MBR) диска, вторая содержит первоначальный сектор зараженного диска и остальные 8 секторов вируса и хранится на флоппи-диске на 40-м или 80-м треке в зависимости от формата диска (используется нестандартное форматирование); на винчестере - начиная со 2-го сектора 0-го трека. При сохранении своей копии на винчестер вирусы могут уничтожить FAT. Вирусы перехватывает INT 21h. Для этого они после активизации (загрузки системы) постоянно опрашивают значение вектора прерывания 21h и, как только оно изменяется, считывают его. Перехватывают INT 9h (клавиатура). Обрабатывают нажатие клавиш Alt-Ctrl-Del (перезагрузка) и эмулируют ее: гасят экран и т.д. При этом вирус остается резидентным даже при загрузке с незараженного защищенного от записи диска. Проявляются 5-го января, при этом выводят сообщение:
Type `Happy Birthday, Joshi'!
и ждут ввода с клавиатуры фразы:
Happy Birthday, Joshi!
