Энциклопедия компьютерных вирусов
сектора дискет. При запуске зараженного
Файлово-загрузочный стелс-вирус. Заражает EXE-файлы, MBR-винчестера и boot- сектора дискет. При запуске зараженного файла записывается в MBR винчестера и возвращает управление программе-носителю. Вирус остается резидентно в памяти только при загрузке с зараженной дискеты или MBR, при загрузке с дискеты вирус также поражает MBR винчестера. При заражении памяти вирус копирует себя по адресу 7C00:0000, перехватывает INT 1Ch, ждет загрузки DOS и перехватывает INT 21h. При запуске первой программы вирус выделяет себе блок обычной или UMB-памяти, копирует себя в этот блок и перехватывает INT 9, 13h, 15h, 21h, 2Fh, 40h. INT 9 (клавиатура) : вирус перехватывает Alt-Ctrl-Del и заражает MBR винчестера непосредственно перед перезагрузкой. В результате вирус может заразить MBR после лечения - в тот момент, когда пользователь нажимает Alt-Ctrl-Del. Таким образом, для полного удаления вируса из системной памяти недостаточно "вылечить" обработчики INT 13h и INT 21h, небходимо также деактивировать и INT 9. INT 13h : содержит стелс-процедуру для маскировки зараженных секторов. INT 15h : обрабатывает несколько системных PCMCIA-вызовов. INT 21h : перехватывает DOS-функции Execute, Create, Close и FindFirst/Next ASCII. При запуске файлов вирус заражает MBR, при создании файла вирус запоминает его handle и заражает файл при закрытии. Функции FindFirst/Next используются вирусом для маскировки длин зараженных файлов. Заражаются только EXE-файлы длиной до 64K, при заражении вирус переводит их в COM-формат. INT 2Fh : вирус перехватывает функцию GetDiskInterrupt (AH=13h) и лечит при этом MBR винчестера. Этот прием, видимо, направлен против антивирусных утилит, проверяющих диски на наличие изменений. Вирус удаляет себя из MBR, если такая утилита пытается получить прямой доступ к диску, а затем опять заражает MBR при запуске любой программы (INT 21h) или при перезагрузке (INT 9). INT 40h : используется для заражения дискет и реализации стелс-механизма. При загрузке с зараженного диска вирус проверяет системную дату и 12 января выводит сообщение:
I'm Nutcracker(AB7)!
