Энциклопедия компьютерных вирусов

         

PMBS


Опасный резидентный загрузочный вирус. При загрузке с пораженного диска копирует себя в расширенную память, переводит компьютер в защищенный режим (если, конечно, это возможно) и запускает виртуальную машину (V86). Загрузка DOS и выполнение приложений будет происходить уже на этой виртуальной машине. Вирус перехватывает все 256 прерываний (от 00h до FFh) и проверяет критические ситуации. При критической ситуации чтения с флоппи-диска вирус заражает его (винчестер поражается при загрузке с зараженного флоппи-диска). При остальных критических ситуациях вирус выводит одно из двух сообщений:

Unimplemented Interrupt: Offending instructions:

General Protection Fault: Offending instructions: Offending CS:IP:

В вирусе также содержится строчка "PMBSVIRS". Этот вирус является "стелс"

-вирусом при доступе к винчестеру. Он проверяет ввод/вывод в порты (используя особенности защищенного режима процессора i386) и корректирует соответствующие данные. Содержит несколько ошибок, включая принципиальные. Основная программистская ошибкой - некорректное поражение флоппи-дисков. Вирус записывает на него только ту свою часть, которая работает в реальном режиме. Часть, отвечающая за обработку прерываний в защищенном режиме, не записывается на диск. При загрузке с такой дискеты компьютер зависает. Принципиальной ошибкой является то, что пораженную 386-ю машину можно использовать только как PC-86, поскольку вирус переходит в режим супервизора и не позволяет другим программам стать таким супервизором. Не позволяет он также получить доступ к расширенной памяти. В результате такие популярные программы, как EMS386, QEMM386, Windows не будут работать на пораженном компьютере. Более того, зависание компьютера вызывает стандартная DOS'овская программа MEM, поскольку она проверяет расширенную память.



Содержание раздела