Энциклопедия компьютерных вирусов

         

BootExe, семейство


Резидентные безобидные файлово-загрузочные вирусы. Перехватывают INT 13h и записываются в EXE-файлы и Boot-сектор дисков. Boot-сектор винчестера инфицируется при старте зараженного файла, Boot-секторы флоппи-дисков - при чтении с диска. Первоначальный Boot-сектор сохраняется на винчестере по адресу 0/0/11 или 0/0/12 (головка/трек/ сектор), на флоппи-диске - по адресу 1/0/3. EXE-файлы поражаются по довольно оригинальному алгоритму: вирусы анализируют считываемую (INT 13h) с диска информацию. Если в считанном с диска секторе лежит заголовок EXE-файла (первые два байта равны "MZ", выполняются некоторые другие условия), то вирус записывается в свободное место в этом заголовке и сохраняет модифицированный сектор на диск. Т.е. а) при заражении файла его длина не увеличивается; б) не требуется обрабатывать атрибуты, время файла и критические ошибки (INT 24h). Вирусы никак не проявляется. "BootExe.Stalker" поражает MBR винчестера и EXE-файлы. После заражения MBR вирус завешивает систему, после загрузки с зараженного диска перехватывает INT 13h и записывается в EXE-файлы. Содержит зашифрованную строку

*Stalker*



Содержание раздела