Энциклопедия компьютерных вирусов
в MBR винчестера. При запуске
Опасный резидентный зашифрованный файлово-загрузочный стелс
-вирус. Записывается в конец COM- и EXE-файлов и в MBR винчестера. При запуске зараженного файла трассирует INT 13h, 21h, 2Ah, перехватывает INT 13h, 2Ah, заражает MBR и остается резидентно в памяти. При загрузке с зараженного диска перехватывает INT 13h, 1Ch, ждет загрузки DOS и перехватывает INT 2Ah. Для того чтобы перехватить INT 13h, вирус корректирует ядро DOS в HMA: записывает туда вызов INT CEh (CDh CEh) и перехватывает INT CEh. Ядро корректируется по фиксированным адресам, которые верны для DOS 6.x и могут быть неправильными для других версий DOS. Вирус также содержит и другие ошибки, в результате система может зависнуть при загрузке с зараженного MBR. INT 13h перехватывается вирусом только для того, чтобы скрыть зараженные сектора (MBR). Перехватив INT 2Ah, вирус получает вызовы из ядра DOS, обрабатывает обращения к файлам и заражает файлы только на дискетах при их (файлов) создании и закрытии (т.е. при копировании) или при обращениях к ним вызовами FindFirst/Next ASCII. При открытии зараженных файлов вирус лечит их. При открытии файла A-Dinf-°.°°° вирус проверяет какие-то адреса в системе (подсчитывает CRC?) и в некоторых случаях стирает свою копию с секторов диска. MBR при этом не восстанавливается, и система зависает при перезагрузке. Вирус содержит строки: Мир вам.Меня зовут Demiurg.Я хранитель врат,врат Ада.Все кто хочет увидеть Хозяина встречается со мной,а ктовстречается со мной попадает к Хозяину...мертвым.Тупые охотники за головами,с притензией на интеллектгадатели,всезнающие визири-многие пытались увидетьменя,но порой их глаза были ослеплены,а ум нашептывал соблазнительное OK LORD
