Энциклопедия компьютерных вирусов
загрузочный вирус. Перехватывает INT 8,
Резидентный файлово- загрузочный вирус. Перехватывает INT 8, 21h и поражает boot-сектор диска C: и каждый 3-й запускаемый .EXE-файл. При старте вирус создает в корневом каталоге диска C: файл '.SYS длиной 2048 байт, куда записывает тело вируса, оформленное как файл-драйвер и boot-сектор диска C:. Затем этот файл объявляется уничтоженным: в корневом каталоге диска C: соответствующая запись помечается как удаленная, однако цепочка файла в FAT не освобождается (т.е. файл формально уничтожается, но сектора файла становятся недоступными для использования и составляют т.н. потерянный кластер). В boot-сектор диска C: записывается часть кода вируса, которая при загрузке "оживляет" файл '.SYS и добавляет в начало файла C:\CONFIG.SYS строку "device='.sys". При инсталляции драйвера '.SYS он восстанавливает CONFIG.SYS в первоначальном виде и "уничтожает" '.SYS по описанному выше методу. Резидентным в памяти вирус остается только при загрузке с зараженного boot-сектора. Содержит строки "NUL", "KIEV", "c:\'.sys","CONFIG SYS","device='.sys". Сравнительно неплохо исполняет Гимн СССР. Не работает с дисками объема более 32M.
Демонстрации вирусных эффектов:
|
kiev2048.com |
