Энциклопедия компьютерных вирусов

         

Проявления и особенности


При запуске зараженного файла вирус ищет строку "WIN=" в области Environment и уничтожает файл \SYSTEM\IOSUBSYS\HSFLOP.PDR в каталоге Windows. При заражении памяти проверяет системную дату. 22 августа и 22 сентября стирает винчестер и в зависимости от версии выводит текст:

"Hare.7610": "HDEuthanasia" by Demon Emperor: Hare Krsna, hare, hare... "Hare.7750": "HDEuthanasia-v2" by Demon Emperor: Hare Krsna, hare, hare... "Hare.7786": "HDEuthanasia-v3" by Demon Emperor: Hare Krsna, hare, hare...

При заражении MBR перехватывает INT 16h и проделывает довольно странные манипуляции с клавиатурой: заменяет или самостоятельно записывает в буфер клавиатуры знаки 'Y' и 'N'. Похоже на то, что вирус пытается самостоятельно ответить на запрос BIOS о записи в MBR диска (если такая функция поддерживается BIOS'ом). Довольно странным образом генерирует свой полиморфик-код. При заражении винчестера вирус заполняет самый последний сектор диска случайными данными и никогда больше их не изменяет (см. замечание ниже). Затем при загрузке с зараженной MBR или запуске зараженного файла считывает эти данные из последнего сектора, при повторном заражении компьютера (после лечения) обнаруживает эти данные в последнем секторе и не изменяет их. Эти данные используются вирусом как генератор случайных чисел при запуске своего полиморфик-генератора: при заражении разных файлов или секторов на вход полиморфик-генератора поступают одни и те же псевдослучайные данные, а в результате полиморфик-генератор выдает на выход один и тот же код, и все файлы, зараженные на одном и том же компьютере, содержат один и тот же полиморфик-цикл расшифровки и зашифрованы одними и теми же ключами (то же справедливо и для секторов). Вирус увеличивает длину файла на случайное число (длина вируса плюс длина случайного расшифровщика). Естественно, что на одном и том же компьютере длина файлов увеличивается на одно и то же значение. В результате все файлы/сектора, зараженные на конкретном компьютере, можно определить обычным методом поиска по маске вируса. Зачем все это проделывается - непонятно. Видимо, для того, чтобы ввести в заблуждение разработчиков антивирусных программ и спрятать файл или диск, который послужил причиной заражения компьютера. Замечание: старшие версии вируса при загрузке с зараженного диска с вероятностью 1/16 меняют случайные данные в последнем секторе диска и как результат генерируют другие полиморфик-циклы при заражении файлов и дискет.



Содержание раздела