Энциклопедия компьютерных вирусов
сектора дискет. Код вируса зашифрован
Очень опасный резидентный файлово-загрузочный полиморфик-вирус. Заражает COM-файлы, boot-сектор диска C: и boot- сектора дискет. Код вируса зашифрован полиморфик-циклом как в файлах, так и в boot-секторах. При запуске зараженного файла вирус записывается в boot-сектор диска C: и возвращается в DOS. Boot-сектор диска C: также заражается при загрузке с зараженной дискеты. При загрузке с зараженного винчестера или флоппи-диска вирус перехватывает INT 13h, ждет загрузки DOS, перехватывает INT 21h и затем записывается в boot-сектора дискет при обращении к ним и в конец COM-файлов при их запуске. Вирус использует довольно сложный механизм при заражении COM-файлов: считывает 20h байт из начала файла (заодно проверяет, что формат файла не является EXE), перехватывает INT 3, INT 13h (еще одна процедура перехвата INT 13h) и отдает управление первоначальному обработчику INT 21h. Затем ждет момента загрузки файла (сравнивает считываемые по INT 13h сектора с 20h байтами заголовка файла) и записывает вместо первого байта запускаемого кода команду CCh (вызов INT 3). Таким образом, при запуске файла первой командой идет вызов INT 3, вирус перехватывает его, восстанавливает этот первый байт, перехватывает INT 1 (трассировка) и затем трассирует файл. При трассировке вирус пропускает 256 или более выполняемых команд, затем ждет команду JMP или CALL и записывает вместо нее команду перехода на тело вируса. Затем шифрует себя и записывает в конец файла. В результате вирус записывает команду перехода на себя в середину файла, а заголовок файла не изменяется. При заражении файлов вирус проверяет различные условия, чтобы не испортить файл, однако в некоторых случаях файл все равно оказывается испорченным. В результате ошибки при заражении boot-сектора диска C: вирус стирает на нем системную информацию, если число секторов на треке меньше 21. Более никак не проявляется, содержит строку:
Nexiv_Der takes on your files
