Энциклопедия компьютерных вирусов
загрузочный вирус. При запуске зараженного
Неопасный резидентный файлово- загрузочный вирус. При запуске зараженного файла вирус записывается в MBR винчестера, перехватывает INT 9, 13h, 21h и остается резидентно в памяти. При заражении MBR шифрует Disk Patrition Table, при обращениях к MBR реализует стелс-механизм и возвращает MBR в исходном виде. При загрузке с зараженного диска вирус перехватывает INT 8,9,12h,13h, ждет загрузки DOS, а затем перехватывает INT 21h. Вирус использует INT 12h для того, чтобы замаскировать себя в памяти при загрузке DOS. При вызовах INT 21h вирус перехватывает запуск, открытие и поиск COM- и EXE-файлов. Вирус записывается в конец COM- и EXE-файлов при обращениях к ним на дисках A: и B: и лечит зараженные файлы на остальных дисках. Вирус обращает особое внимание на запуск программ LOGIN.EXE: сохраняет командную строку и символы, вводимые с клавиатуры при запуске LOGIN.EXE и таким образом получает доступ к именам и паролям пользователей сети. Вирус перехватывает ввод с клавиатуры. Если введена строка "QPHS", то вирус выводит на экран строки, перехваченные при запуске LOGIN.EXE. Если введена строка "PERFECT", то вирус удаляет себя из MBR.
