Энциклопедия компьютерных вирусов
Неопасный резидентный зашифрованный вирус. Записывается
Неопасный резидентный зашифрованный вирус. Записывается в начало COM-файлов (кроме COMMAND.COM), середину EXE-файлов и MBR винчестера. При запуске зараженного файла записывается в MBR, затем (также, как и при загрузке с зараженного винчестера) перехватывает INT 13h, 21h и заражает запускаемые файлы. При помощи перехвата INT 13h реализует стелс при чтении/записи зараженной MBR. При запуске зараженных файлов вирус проверяет командную строку. В зависимости от каких-то символов в этой строке (вирус использует двух-байтную китайскую кодировку) вирус либо лечит MBR, либо выводит текст:
HONG KONG 1997
Это же сообщение выводится 1-го июля. Вирус использует несколько приемов противодействия отладке и лечению: при заражении MBR зиписывает в Disk Partition Table такой код, что MS-DOS (включая DOS 7.0) записает при загрузке с системной дискеты (при этом вирус вполне нормально грузится с винчестера). В результате оказывается невозможным загрузить систему с дискеты, проверить диск и вылечить вирус при помощи расположенного на дискете антивируса. Второй прием заключается в том, что 90% кода вируса (ассемблерных команд) перемешано с одно-байтовым случайным мусором. Для того чтобы пропускать этот мусор при работе, вирус перехватывает INT 1 (трассировка) и при выполнении каждой команды своего кода вызывает процедуру, пропускающую байты мусора.
