Энциклопедия компьютерных вирусов
Ugly, семейство
Очень опасные резидентные полиморфик
-стелс
-вирусы. При запуске зараженного файла или при загрузке с зараженной дискеты записываются в MBR винчестера. Остаются в памяти только при загрузке с пораженного винчестера: перехватывают INT 8, 13h, 17h, 1Ch, 20h, 21h, 25h, 26h, 27h и записываются в конец COM- и EXE-файлов при обращении к ним и при окончании их работы. Периодически самостоятельно ищут файлы при помощи команд FindFirst/Next и заражают их. Не заражают файлы: COMMAND.COM, GDI.EXE, DOSX.EXE, WIN386.EXE, KRNL286.EXE, KRNL386.EXE, USER.EXE, WSWAP.EXE, CHKDSK.EXE При обращении к дискетам записываются в их boot-сектор. В зависимости от своих внутренних счетчиков и под отладчиком стирают CMOS и сектора винчестера. Используют оригинальный алгоритм: остаются в памяти зараженной системы при "горячей" или "холодной" перезагрузке с чистой DOS-дискеты. Для этого вирус запоминает значения CMOS, соответствующие параметрам установленных в системе дискет, и стирает эти значения (т.е. выключает флоппи-диски). При обращении к дискам вирус временно восстанавливает CMOS, а затем опять стирает параметры дискет. При загрузке система не находит флоппи-дисков и грузится с винчестера, при этом вирус получает управление, заражает память и затем передает управление boot-сектору с флоппи-диска. В результате вирус остается резидентным в памяти при загрузке с чистой DOS-дискеты.
