Энциклопедия компьютерных вирусов
файлов при их запуске, открытии
Файловые стелс-вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE- файлов при их запуске, открытии и переименовании. При создании файлов вирусы запоминают соответствующий handle и заражают файлы при их закрытии. Для маскировки своего тела используют стелс-процедуры при чтении из зараженных файлов и при вызове функций FindFirst/Next и LseekEnd. "Nutcracker.AB4" лечит файлы под отладчиком. "Nutcracker.AB5" при инсталляции трассирует INT 21h. Также использует антиотладочные методы, в результате чего не работает под отладчиком и на Pentium PC. При открытии *.?AS-файлов (.PAS, .BAS) с вероятностью 1/9 уничтожают их. Уничтожают также некоторые другие файлы (базы ADINF?). "Nutcracker.AB5" уничтожает *.MS-файлы. "Nutcracker.AB3" 12 января и 23 июля стирает сектора диска C:. При заражении файлов запоминает текущую дату и через 23 дня перехватывает INT 10h и замедляет работу компьютера (пустой цикл при каждом вызове INT 10h). "Nutcracker.AB4" записывает в MBR винчестера троянскую программу, которая 12 января и 23 июля форматирует сектора диска C:. Вирус также заводит счетчик в boot-секторах дисков и увеличивает его при запуске программ. Когда счетчик достигает значения 40h вирус перезапускает его и помечает один из кластеров диска как сбойный. "Nutcracker.AB5" также записывает в MBR троянскую программу, которая увеличивает свой внутренний счетчик при каждой перезагрузке. При достижении значения 511 троянец форматирует винчестер, стирает CMOS и выводит сообщение:
Gloomy Nutcracker(AB5) from the city of Brest(BY) with best wishes!
