Энциклопедия компьютерных вирусов
Заражает файлы форматов COM, EXE
Безобидный резидентный стелс
-вирус. Заражает файлы форматов COM, EXE и NewEXE, boot-сектора дискет и MBR винчестера. При заражении файлов записывается в их конец, затем модифицирует их заголовки: записывает команду JMP_Virus в начало COM-файлов, меняет точку входа в заголовке DOS EXE-файлов, в случае NewEXE-файла создает в его заголовке новую таблицу сегмента, описывает в ней новый сегмент кода и изменяет некоторые другие поля заголовка. При заражении дискет форматирует дополнительный 80-й трек и записывает туда свой код. При заражении MBR записывает свой код в скрытые сектора первого трека диска. Затем записывает в MBR/boot-сектор 1Сh байт своего загрузчика. Вирус перехватывает INT 13h, 21h, 2Ah, 2Fh. Для этого при загрузке системы с зараженного диска загрузчик считывает код вируса в системную память и перехватывает INT 13h. Обработчик INT 13h ждет загрузки DOS и перехватывает INT 2Ah. При вызове INT 2Ah вирус сканирует ядро DOS и записывает по определенным адресам команды CALL FAR, указывающие на обработчики INT 21h, 2Fh в теле вируса. Затем при запуске первого файла вирус выделяет себе блок UMB или обычной DOS-памяти и копирует туда свой код. При запуске зараженного DOS-файла вирус выделяет себе блок обычной памяти и перехватывает те же вектора прерываний. При запуске NewEXE-файла он выделяет себе память DPMI-вызовами. Затем вирус заражает выполняемые файлы DOS, Windows и boot-сектора дискет при обращениях к ним. При обращениях к файлам вирус проверяет имя активной программы и в случае утилит PKZIP, ARJ, RAR, LHA, TELIX, BACKUP, MSBACKUP, CHKDSK выключает часть своих стелс-процедур. Свою резидентную копию вирус определяет вызовом INT 21h, AX=187Fh и BX=4453h (строка "DS", по которой он получил название). Резидентная часть вируса возвращает BX=87A1h.
