Энциклопедия компьютерных вирусов
Очень опасные резидентные загрузочные вирусы.
Очень опасные резидентные загрузочные вирусы. Перехватывают INT 8, 15h, 40h и записываются в MBR винчестера и boot-сектора дискет. Вирусы поражают MBR при загрузке с зараженной дискеты, при этом вирусы переопределяют адрес активного boot-сектора диска и записывают по этому адресу свой код. Дискеты заражаются при обращениях к ним. При заражении вирус записывает первоначальный сектор и свое продолжение в дополнительные сектора винчестера (LandZone?) или форматирует дополнительный сектор на дискете. При заражении MBR вирус использует прямые вызовы портов винчестера. При загрузке с зараженного диска вирус перехватывает INT 8, 15h, 40h, ждет загрузки DOS, временно перехватывает INT 21h, ждет выполнения любой программы и затем копирует свой код в UMB (если такая память присутствует) или добавляет к последнему блоку обычной DOS-памяти. Для того чтобы перехватить INT 15h вирус правит код ядра DOS: записывает туда вызов INT 7Eh и перехватывает INT 7Eh (т.е. INT 15h). Перехватив INT 15h, вирус контролирует внутренние вызовы BIOS при обращениях к клавиатуре (ждет нажатия Alt-Ctrl-Del) и к дискам (вызывает стелс-программу). Проявляется несколькими способами. При нажатии на Alt-Ctrl-Del вирус в зависимости от своих флагов и системного таймера стирает сектора винчестера. В зависимости от системного таймера запускает по экрану изображение прыгающего шарика (см. "Ping-Pong"
). Если при загрузке с зараженного диска произошла ошибка, вирус расшифровывает и выводит текст, напоминающий стандартное сообщение DOS:
Non-system disk or disk error. Replace and press strike any key when ready.
7 апреля расшифровывает и выводит текст:
0S0U0P0E0R0U0N0K0N0O0W0N0 was done by Lord Nutcracker(AB0).
