Энциклопедия компьютерных вирусов
         

При запуске зараженного файла расшифровывает


Очень опасный резидентный файлово-загрузочный стелс

-полиморфик

-вирус. При запуске зараженного файла расшифровывает себя, используя программный стек, отрезает блок системной памяти (включая UMB), копирует туда свой код, перехватывает INT 8, 13h, 1Ch, 21h и заражает MBR винчестера. Затем отдает управление программе-носителю. При заражении MBR вирус сохраняет первоначальную MBR и свой код начиная со второго сектора нулевого трека и записывает в MBR 29h байт своего загрузчика. Также стирает в зараженной MBR таблицу разбиения диска (Disk Partition Table), в результате чего команда FDISK/MBR делает диск недоступным. При загрузке с зараженной MBR вирус уменьшает на 6 размер системной памяти (слово по адресу 0000:0413), копирует туда свой код, перехватывает INT 8, 13h, 1Ch и отдает управление первоначальной MBR. При запуске или закрытии любого файла восстанавливает размер системной памяти и таким образом "откусывает" блок памяти для своего кода. Затем вирус постоянно проверяет наличие DOS (при вызовах INT 1Ch) и перехватывает INT 21h. Обработчик INT 13h содержит стелс-подпрограмму, которая делает "невидимой" зараженную MBR и код вируса в нулевом треке диска. Обработчик INT 21h содержит стелс-подпрограмму и подпрограмму заражения файлов. Вирус обрабатывает 15 функций DOS и при обращениях к зараженным файлам вызывает стелс-процедуру. При запуске или закрытии EXE-файлов записывается в их конец. Вирус не заражает несколько антивирусных программ и выключает стелс-процедуру при работе некоторых утилит проверки диска. Список соответствующих имен выглядит так: CHKDSK, SCANDISK, DISKFIX, TNTSCAN, CPAV, MSAV, SCAN, IBMAVD, IBMAVDQ, IBMAVSP, IBMAVSH, VWATCH, VSAFE При каждом десятом вызове INT 8 вирус проверяет свой код по CRC-сумме. Если CRC не совпадает с оригиналом, то вирус устанавливает INT 21h на другой адрес и при первом же вызове INT 21h выводит сообщение:

## (Copyleft) DD.MM.YY by MarkusMueller/GERMANY ## (V1.03)

<<<<< Eeehhjj, Du genetischer Abfall !!! >>>>>



Na, haben wir denn gerade einen Fehler gemacht ? Vorab mФchte ich mich kurz vorstellen: Mein Name ist Ebola, ich wohne auf Deiner FESTplatte, arbeite zur Zeit auf Deinem Rechner, ernДhre mich von Deinem Datensalat, habe Angst meine Arbeit und meine Wohnung zu verlieren und ich weiс bescheid.

Dummerweise will mich mein Vermieter loswerden, er hat wohl gerade irgend ein `SchДdlingsbekДmpfungsmittel` eingesetzt. Ich werde nun wohl besser verschwinden.

Ach, Бbrigens: Viel Spaс bei der Renovierung meiner Wohnung !

the crazy program from MM Und TschБс, (bis demnДchst...)

Затем вирус стирает CMOS, ждет некоторе время, медленно гасит экран (использует возможности VGA) и перезагружает компьютер. Точно так же ведет себя и под отладчиком. Вирус проявляется и другими способами. При вызовах INT 13h и INT 1Ch "трясет" изображение на экране. Через месяц после заражения системы периодически эмулирует ошибку обращения к винчестеру. 20-го мая выводит текст:

+---------------------+ TYPE Happy Birthday Markus | | +---------------------+

ждет ввода строки "Happy Birthday Markus", а затем добавляет:

Thank you very much for the congratulations.

11 ноября выводит текст:

Runtime error 032 at 0040:0074 (A)brechnen, (W)iederholen, (I)gnorieren?

и при нажатии на "a" стирает CMOS. Вирус также содержит строку:

** Ebola is present **


Содержание раздела