Энциклопедия компьютерных вирусов
При запуске зараженного файла вирус
Неопасный резидентный файлово-загрузочный зашифрованный стелс-вирус. Заражает MBR винчестера и записывается в конец COM- и EXE-файлов. При запуске зараженного файла вирус записывается в MBR, перехватывает INT 21h и остается резидентно в системной памяти. При загрузке с зараженного диска перехватывает INT 8 (таймер), ждет загрузки DOS и затем перехватывает INT 21h.
Перехватчик INT 21h обрабатывает более десятка DOS-функций: FindFirst/Next (включая поиск по длинным именам), открытие файлов, закрытие, запуск, переименование, чтение и т.д. Вирус заражает файлы при их открытии, запуске, переименовании и чтении/записи атрибутов. При вызове остальных DOS-функций вирус передает управление на свои стелс-подпрограммы.
Помимо стелс-функций вирус использует ряд достаточно сложных методов для скрытия своего присутствия в системе. При заражении MBR вирус вызывает процедуры прямого чтения/записи секторов через порты контроллера и обходит таким образом встроенную в BIOS антивирусную защиту. При заражении памяти вирус копирует в нее всего 339 байт своего кода (обработчик INT 21h). При необходимости вирус дочитывает свой основной код с первого трека винчестера, куда записывает его при заражении MBR. В результате вирус не занимает обычной DOS-памяти и не присутствует в списке резидентных программ при просмотре карты памяти. В зависимости от системной конфигурации вирус также копирует свой основной код в XMS-память и при необходимости использует эту копию вместо кода, расположенного в секторах винчестера.
Вирус содержит строку:
PowerFul Stealth v6.1 (c)'98 DK eyegabooom
