Энциклопедия компьютерных вирусов
Implant, семейство
Очень опасные резидентные файлово-загрузочные стелс
-полиморфик
-вирусы. Заражают .COM-, .EXE- и .SYS-файлы, MBR винчестера и boot-сектора дискет. При запуске зараженного файла вирус записывается в MBR винчестера и возвращает управление программе-носителю. При загрузке с зараженного диска перехватывает INT 12h, 13h, 1Ch, ждет загрузки DOS и перехватывает INT 21h. Вирусы заражают файлы при их закрытии, переименовании и обращении к их атрибутам. При запуске файлов они запоминают их имена и заражают при окончании их работы. При открытии и чтении из зараженных файлов вызывают стелс-процедуру. При записи в зараженные файлы лечат их. Если активны архиваторы ARJ, PKZIP, PKLITE, LHA или BACKUP, вирусы выключают свой стелс. При запуске антивирусов TBAV и SCAN изменяют командную строку таким образом, что эти антивирусы не сканируют системную память. При запуске Windows добавляют к командной строке опцию, запрещающую 32-битный доступ к дискам. Некоторые из "Implant"-ов не заражают антивирусы TBAV, SCAN, F-PROT,... Определяют они их по первыв двум символам имени: 'TB', 'SC', 'F-', 'GU'. Также не заражаются файлы с именами, содержащими цифры и символы 'V', 'MO', 'IO', 'DO', 'IB'. Перехват INT 13h используется вирусами для реализации стелс-процедуры при обращении к зараженным дискам и для заражения дискет при чтении их boot-сектора. Для размещения на дискете своего кода вирусы форматируют на ней дополнительный трек. 4 июня вирусы стирают сектора винчестера, пищат динамиком компьютера и выводят текст:
<<< SuckSexee Automated Intruder >>> Viral Implant Bio-Coded by Griyo/29A
В 1997 вирус "Implant.6128" был разослан в несколько Internet конференций. Зараженным был файл NENA.EXE, выводящий порно-картинку.
