Энциклопедия компьютерных вирусов

Москва туроператор анекс тур турагентство anex tour поиск туров из москвы.          

Starship


Резидентный неопасный стелс

-полиморфик

-вирус. Поражает COM- и EXE-файлы только на дисках A: и B: при создании файла, MBR винчестера - при запуске зараженного файла. В результате вирус обеспечивает свое присутствие в оперативной памяти компьютера и переносимость на другие компьютеры при минимальном числе пораженных объектов, что несколько затрудняет его обнаружение. Эта идеология имеет и еще одно "достоинство" - при заражении заново создаваемого файла нет необходимости отслеживать критическую ошибку DOS (int 24h).

Вирус записывается в конец файлов, используя при этом полиморфик-алгоритм. При заражении диска располагается в самых последних секторах диска и устанавливает в таблице разбиения диска (Disk Partition Table) новый адрес активного загрузочного сектора: вместо "настоящего" активного boot-сектора таблица указывает на код вируса. Код и расположение MBR и активного boot-сектора остаются без изменений, за исключением трех байт в Disk Partition Table, которые указывают на активный boot-сектор. При обращении к исправленной MBR и последним секторам диска использует "стелс"-механизм. Вирус инфицирует память при загрузке с зараженного диска. Часть своей TSR-копии помещает в таблице векторов (0000:02С0), области данных BIOS (0000:04B0), а основной участок кода - в видеопамяти (BB00:0050). Затем перехватывает INT 13h, 20h, 21h, 27h.

После загрузки операционной системы вирус следит за запуском и завершением программ. Если программа при завершении выгружается из памяти (Exit - INT 20h, INT 21h и AH=0 или 4Ch), то вирус перемещает свой код из видеопамяти в область, занятую выгружаемой программой. Если программа остается резидентной (Keep - INT 27h, INT 21 и AH=31h), то "прикрепляет" свой код к этой программе. Если часть вируса, размещенная в видеопамяти, испорчена, то вирус заново считывает испорченный код с диска (самовосстановление вируса). В зависимости от своих счетчиков при обращении к дискам вирус проявляется "писком морзянки" и выводит "звезды" на экран. Содержит строку:

>STARSHIP_1<

Демонстрации вирусных эффектов:

starship.com



Содержание раздела