Энциклопедия компьютерных вирусов
Заражение
При запуске зараженного файла вирус расшифровывает себя, заражает MBR, трассирует и перехватывает INT 21h и возвращает управление программе-носителю. Под Win95 он перехватывает также INT 13h. Затем вирус записывается в файлы при их запуске, закрытии или при выходе в DOS (AH=0,31h,4Ch). При открытии зараженных EXE-файлов лечит их. Не заражает файлы:
TB*.* F-*.* IV*.* CH*.* COMMAND*.*
Не заражает также файлы, если в их имени есть буква 'V'. При загрузке с зараженной дискеты вирус записывается в MBR и возвращает управление первоначальному boot-коду, при этом вирус не оставляет в памяти своей резидентной копии. При заражении MBR вирус трассирует INT 13h или напрямую работает с портами контроллера, затем записывает свое продолжение (15 секторов) в трек, находящийся за пределами объявленного размера диска (LandZone?). Затем затирает Disk Partition Table (в результате этого команда FDISK/MBR может привести к полной потере данных на диске). При загрузке с зараженного MBR-сектора вирус восстанавливает Partition Table для того, чтобы нормально загрузилась DOS (в этот момент стелс на уровне INT 13h еще не работает), затем уменьшает размер памяти (слово по адресу 0000:0413), копирует свой код в "отрезанный" участок памяти, перехватывает INT 1Ch и передает управление первоначальному MBR-сектору. Перехватив INT 1Ch, вирус ждет загрузки DOS, затем восстанавливает размер системной памяти и перехватывает INT 13h, 21h, 28h. При первом вызове INT 28h он снова портит Disk Partition Table (зачем все это проделывается - непонятно, возможно, чтобы "одурачить" антивирусное hardware и software, если оно, конечно же, установлено). При вызовах INT 13h вирус перехватывает обращение к флоппи-дискам и заражает их, для своего основного кода вирус форматирует дополнительный трек. При обращениях к уже зараженным дискам выполняет стелс-программу.
