Энциклопедия компьютерных вирусов
При запуске зараженного файла записываются
Файлово-загрузочные стелс-вирусы. При запуске зараженного файла записываются в MBR винчестера, перехватывают INT 13h, 17h, 21h, ищут и заражают COM- и EXE-файлы на диске C:, после чего остаются резидентно в памяти. Затем записываются в конец COM- и EXE-файлов при обращениях к ним. При загрузке с зараженной MBR вирус перехватывает INT 17h, 1Ch, ждет загрузки DOS и перехватывает INT 13h, 21h. Вирус не уменьшает размер DOS-памяти (слово по адресу 0000:0413), а самостоятельно корректирует цепочку MCB. Вирусы используют INT 13h для маскировки зараженной MBR. Перехватывая INT 17h, периодически меняют символы при их печати. Особое внимание вирусы уделяют утилите CHKDSK и при ее запуске отключают некоторые ветви стелс-процедуры. Уничтожают файлы *.FW* и *.?AS, также пытаются (безуспешно) уничтожить *.MS-файлы. 12 января при загрузке с зараженной MBR форматируют винчестер, стирают CMOS и выводят сообщения:
"Nutcracker.AB6.a": Dreary Nutcracker(AB6) Lives "Nutcracker.AB6.b": Dreary Nutcracker(AB6) Lives Again "Nutcracker.AB6.c": Dreary Nutcracker(AB6) "Nutcracker.AB6.d": Dreary Nutcracker(AB6) lives forewer !
