Энциклопедия компьютерных вирусов
загрузочный вирус. Заражает MBR винчестера
Очень опасный резидентный файлово- загрузочный вирус. Заражает MBR винчестера и записывается в конец файлов. В файлах использует полиморфик-расшифровщик, в MBR и системной памяти - зашифрован. При заражении MBR записывает ее в 16-й сектор первого трека, свой код записывает в MBR и последующие сектора (до 16-го). При заражении файлов записывает в них несколько блоков-пустышек. Делает это методом, похожим на "OneHalf"
, но использует при этом более сложный полиморфик-механизм. В этих пустышках также используются антиотладочные приемы. При запуске зараженного файла вирус расшифровывает себя, заражает MBR, перехватывает INT 13h, 21h и остается резидентно в памяти. При загрузке с зараженной MBR вирус перехватывает INT 8, 13h, ждет некоторое время (пропускает загрузку DOS) и перехватывает INT 21h. При помощи перехвата INT 13h вирус реализует стелс-процедуру, скрывающую зараженный MBR-сектор. Перехватом INT 21h вирус определяет файлы, которые копируются или модифицируются, и заражает их (в результате обходит антивирусные CRC-ревизоры). По причине ошибки (не проверяет расширения имен файлов - COM/EXE) вирус заражает не только в программы, но и файлы данных. В зависимости от своего счетчика загрузок с зараженной MBR останавливает загрузку и ждет введа строки "CAPSL". Содержит текст:
3.0 1996.10 USTC
