Энциклопедия компьютерных вирусов
Emperor
Крайне опасный резидентный файлово-загрузочный полиморфик-вирус. Записывается в конец DOS COM- и EXE-файлов, заражает MBR винчестера и загрузочные сектора дискет. Использует анти-отладочные приемы, стелс
-алгоритмы, для определения адресов необходимых ему прерываний трассирует цепочки этих прерываний и сканирует ядро DOS. Содержит ошибки и в некоторых случаях портит файлы при их заражении.
При запуске зараженного файла вирус расшифровывает свой код, проверяет наличие в памяти компьютера своей уже активной резидентной копии, если память еще не заражена - выделяет себе блок DOS-памяти, перехватывает прерывания INT 12h, 13h, 21h и заражает MBR винчестера.
Обработчики INT 13h и 21h перехватывают обращения к файлам и загрузочным секторам и вызывают процедуры стелсирования и заражения.
При заражении MBR вирус использует несколько приемов для обхода антивирусных защит: либо записывает новый (зараженный) код MBR при помощи прямых обращений к портам ввода-вывода контроллера диска, либо проверяет защиту от вирусов в CMOS (в случае Megatrends или AWARD BIOS) и записывает в буффер клавиатуры разрешающий запись символ 'Y', если эта защита установлена.
Вирус сохраняет заражаемые образы MBR и загрузочных секторов в несипользуемые обрасти диска, однако при этом шифрует и портит их содержимое таким образом, что они становятся работоспособны только при условии активной резидентной копии вируса (т.е. если идет загрузка с зараженного диска, вирус уже установил себя в память и передал управление первоначальному загрузчику). Дополнительно вирус портит таблицу разбиения диска - зацикливает ее таким образом, что загрузка многих распространенных версий DOS с чистого загрузочного диска становится невозможной.
При заражении загрузочных секторов вирус проверяет их на какой-то код и, если этот код обнаружен, стирает CMOS, выводит текст "Error in CMOS" и завешивает компьютер.
Более опасная деструктивная функция вируса стирает данные на винчестере и портит данные в Flash BIOS (эта процедура полностью аналогична вирусу "Win95.CIH"- "Chernobyl"). В этот момент вирус также выводит текст:
EMPEROR I will grind my hatred upon the loved ones. Despair will be brought upon the hoping childs of happiness. Wherever there is joy the hordes of the eclipse will pollute sadness and hate under the reign of fear. In the name of the almighty Emperor....
Процедура уничтожения диска и Flash BIOS вызывается вирусом если в памяти компьтютера обнаружен отладчик, либо компьютер загружается в период с 5 до 10 часов утра. Эта процедура также может быть активизирована по причине ошибок в коде вируса.
Вирус также содержит текст:
the EMPEROR virus written by Lucrezia Borgia In Colombia, 1999
