Энциклопедия компьютерных вирусов
ExeBug, семейство
Это семейство включает в себя как загрузочные, так и файлово-загрузочные стелс
-вирусы. Они перехватывают INT 13h и записываются в MBR винчестера и boot-сектора дискет. Файлово-загрузочные представители семейства записывают в заголовок EXE-файлов свой код таким образом, что при запуске файла вирус заражает винчестер компьютера. Прочие вирусы записывают в EXE-файлы троянские программы, которые стирают сектора винчестера. "ExeBug.a" использует довольно интересный прием для инсталлирования себя в память даже при загрузке с чистой системной дискеты (этот прием работает только на некоторых BIOS, см. также "Ugly"
). Вирус стирает CMOS-память в тех ячейках, которые отвечают за флоппи-диски, и тем самым отключает эти диски. При загрузке (холодной или горячей) такого компьютера BIOS не обнаруживает флоппи-дисков и передает управление MBR винчестера (которая уже заражена). Вирус получает управление, включает флоппи-диски и загружает с них систему. Таким образом, код вируса оказывается в памяти даже при загрузке с чистого системного диска. "ExeBug.d" занимает два сектора и перехватывает INT 1Ch, однако полный анализ вируса пока невозможен, так как у меня нет его второго сектора. "ExeBug.Hooker" записывает в EXE-файлы троянскую прорамму, которая содержит строку:
HOOKER
