Энциклопедия компьютерных вирусов
Очень опасный резидентный многоплатформенный вирус.
Очень опасный резидентный многоплатформенный вирус. Заражает DOS COM-, EXE-файлы и документы MS Word 6/7. Является первым известным вирусом, заражающим не только выполняемые файлы, но и документы Word. Содержит строки текста:
JAN FAKOVSKIJ,USSR,1997 Озаглавилась весна топором, Успокоилась река декабрем, Утро одиноким выстрелом JANKA DYAGILEVA безысходность
COM- и EXE-файлы заражаются стандартно - вирус записывает себя в их конец и модифицирует заголовок файла (адрес "точки входа" и т.д.). При заражении документов вирус разбирает их структуру (формат OLE2), преобразует документ в темплейт, создает область макросов и записывает туда макрос AUTOOPEN, содержащий загрузчик ("дроппер") вируса.
В DOS-файлах вирус является полиморфным - код вируса зашифрован и цикл расшифровщика восстанавливает его перед тем, как основные процедуры вируса получат управление. При инсталляции в память вирус использует достаточно сложный способ "опознания" своей уже загруженной в память TST-копии. Вирус открывает файл с именем "JANKA DYAGILEVA" и пытается прочитать оттуда некоторое количество данных. Если TSR-копия вируса отсутствует в системной памяти, DOS возвращает ошибку (файл отсутствует), и вирус устанавливает себя в системную память. Если же вирус уже в памяти, он эмулирует открытие этого файла и чтение из него, что и является признаком присутствия вируса в системной памяти.
Если запуск произешел не в окне Windows, вирус выделяет блок DOS-памяти, копирует себя в него и перехватывает INT 21h, 2Fh. Если же вирус запущен под Windows, он ищет в XMS-памяти код драйвера Virtual Memory Manager (VMM32.VXD) и патчит его. В результате вирус получает управление не только при вызовах функций DOS, но и при вызовах Windows. Затем вирус использует оба перехвата (стандарнтый DOS INT 21h и Windows VMM) для заражения файлов и своих стелс-процедур (работа с драйвером VMM написана не вполне корректно - при попытке запустить Windows вирус завесил мой тестовый компьютер с Windows95).
Затем вирус ищет в Environment строки "COMSPEC=" и "WinDir=", заражает файлы COMMAND.COM и/или WIN.COM и возвращает управление программе-носителю. Пользуясь перехватом функций DOS вирус затем заражает COM-, EXE- и DOC-файлы при из запуске (COM/EXE) или открытии. Вирус также перехватывает создание файлов и заражает их при закрытии. Является стелс-вирусом при чтении из зараженных файлов и при их поиске (FindFirst/Next). При этом также поддерживает не только стандартные вызовы DOS, но и функции работы с длинными именами файлов. При записи в зараженные файлы лечит их. Отключает стелс-функции при запуске архиваторов ARJ, ZIP, RAR, RAR20 и антивирусов AIDSTEST.EXE, WEB.EXE, DRWEB.EXE.
При открытии зараженного документа управление получает макрос AUTOOPEN. Код вируса в этом макросе создает временный NewEXE-файл, содержащий "дроппер" вируса, запускает его на выполнение и затем удаляет. "Дроппер" вируса ищет файлы COMMAND.COM и/или WIN.COM и заражает их. 9-го мая, 8-го и 30-го апреля вирус стирает случайно выбранные сектора на винчестере. При записи на диск текста, содержащего строки "г Любер" или "Б.ЕЛЬЦИН" вирус также стирает случайные сектора диска.
