Энциклопедия компьютерных вирусов
Порча EXE-файлов и подкаталогов
"Nutcracker.AB1.Antarex.2620" и "Nutcracker.AB2" портят EXE-файлы длиной более 64K. Вирусы перехватывают INT 13h и если сектор содержит заголовок EXE-файла ('MZ' в начале сектора) и размер EXE-файла больше 64K (вирус проверяет соответствующие поля в заголовке), то вирус шифрует этот сектор, заменяет 'MZ' на 'AB' и сохраняет сектор на диск. В результате первый сектор больших EXE-файлов оказывается испорченным, и такие файлы, скорее всего, завесят систему при запуске на 'чистом' компьютере. Однако при наличии вируса в памяти эти файлы вполне работоспособны - вирус расшифровывает испорченные сектора 'на лету', и файлы запускаются без проблем. Старшие версии "Nutcracker.AB2" шифруют вместо EXE-файлов сектора дисков, содержащие списки файлов в подкаталогах. При лечении системной памяти AVP правит код вируса таким образом, что вирус начинает расшифровывать зашифрованные данные. То есть для восстановления зашифрованных данных необходимо вылечить вирус в памяти при помощи AVP и просканировать все файлы во всех подкаталогах без перезагрузки компьютера.
