Энциклопедия компьютерных вирусов
они имеют длины: 2890, 2990,
Известно около 30 вирусов "Nutcracker.AB2", они имеют длины: 2890, 2990, 3021, 3472, 4540, 5375, 5413, 5440, 5589, 6082, 6100, 6425, 6500, 6727, 6996, 7008, 7033, 7034 байт. Являются очень опасными файлово-загрузочными вирусами. Поражают COM-, EXE- и SYS-файлы, MBR винчестера и boot-сектора дискет. При запуске зараженного файла или загрузке с зараженной дискеты вирус записывается в MBR винчестера. Затем вирус отдает управление программе-носителю (в случае зараженного файла) или остается резидентным в памяти (при загрузке с зараженной дискеты или MBR). При заражении системной памяти вирус копирует свое тело по адресу 7C00:0000, перехватывает INT 1Ch и возвращает управление первоначальному сектору (boot или MBR). Обработчик INT 1Ch перехватывает момент инсталляции DOS, перехватывает INT 13h, 21h (плюс к INT 1Ch) и при выполнении первой же программы "приписывает" свой TSR-код к последнему блоку памяти, уже занятому какой-либо программой или драйвером. В результате вирус не выделяет себе отдельный блок памяти, а паразитирует на каком-либо уже существующем блоке. Если есть свободный блок UMB, то старшие версии вируса записывают свои резидентные копии в этот блок. Обработчик INT 21h перехватывает обращения к файлам и заражает COM-, EXE- и SYS-файлы, записывая копии вируса в середину или конец файла, или помещает троянскую программу в конец SYS-файлов (см. выше) в зависимости от версии вируса. Перехват INT 13h используется для заражения дискет, стелс-процедуры, порчи EXE-файлов и подкаталогов (см. выше) в зависимости от версии вируса. INT 1Ch используется для проигрывания мелодии. Младшие версии вируса применяют антиотладочные приемы и завешивают систему под отладчиком и на Pentium PC. Старшие версии вируса начиная с "Nutcracker.AB2.5375" также перехватывают INT 28h и в зависимости от своих счетчиков ищут файлы в текущем каталоге и заражают их. "Nutcracker.AB2.5413,5440,5589,6082,6100" заражают не только MBR винчестера, но и активный boot-сектор (как правило этим сектором является boot-сектор диска C:). Начиная с "Nutcracker.AB2.5375" не шифруют заголовки EXE-файлов. Версии "Nutcracker.AB2.6082" и старше являются полиморфик-вирусами также и в boot/MBR-секторах. "Nutcracker.AB2.6082,6100,6500" пакуют блок заражаемого файла (см. выше) перед тем, как зашифровать его и сохранить в конце файла. В результате длина файла после заражения может оказаться меньше, чем сумма длин вируса и файла до заражения. Начиная с "Nutcracker.AB2.6425" шифруют подкаталоги, шифруют себя в SYS-файлах тем же способом, что и в COM- и EXE-файлах, трассируют INT 13h, проверяют имена файлов и не заражают антивирусы и некоторые утилиты. Список имен файлов выглядит следующим образом: SCAN CLEAN VSAFE NAV AVP AIDS GUARD NOD F-PROT DESINF VIRSTOP VSHIELD FINDVIRU VIVERIFY TB RKSD COMMAND SETVER CHKLIST ADINF SMARTCHK ANTI-VIR CHKDSK PKZIP PKLITE WEB DRWEB
