Энциклопедия компьютерных вирусов

         

платформанный вирус. Поражает файлы DOS


Много- платформанный вирус. Поражает файлы DOS (COM и EXE), EXE-файлы Windows (NE) и EXE-файлы Windows32 (PE). Также содержит блок, являющийся MDEF-ресурсом Macintosh - похоже, что это вирус умеет также заражать файлы операционной системы Mac OS. Однако переползание вируса с PC на Mac и обратно является крайне маловероянтым - при запуске зараженных DOS/Win-файлов вирус не обращает внимания на файлы Mac (если они вдруг оказались на PC). Похоже, что то же самое происходит и на Mac. Заразить другую OS вирус в состоянии, видимо, только если пользователь скопирует его "руками". При запуске зараженных DOS-файлов вирус перехватывает INT 21h и остается резидентно в DOS-памяти. Затем он заражает файлы при их запуске и при вызовах DOS-функций FindFirst/Next. При запуске зараженных Windows-файлов вирус не остается резидентно - он только ищет COM/EXE-файлы для заражения и затем возвращает управление программе-носителю. При заражении файлов вирус проверяет их внутренний формат и заражает различными способами. При этом записывается в конец файлов и изменяет их заголовки. В Windows NE-файлах при этом создает новую секцию, а в Windows32 PE-файлах дописывается к последней секции. При запуске зараженных Window32-файлов вирус проверяет системное время и в зависимости от его значения выводит MessageBox:

[Esperanto, by Mister Sandman/29A] Never mind your culture / Ne gravas via kulturo, Esperanto will go beyond it / Esperanto preterpasos gxin; never mind the differences / ne gravas la diferencoj, Esperanto will overcome them / Esperanto superos ilin.

Never mind your processor / Ne gravas via procesoro, Esperanto will work in it / Esperanto funkcios sub gxi; never mind your platform / Ne gravas via platformo, Esperanto will infect it / Esperanto infektos gxin.

Now not only a human language, but also a virus... Turning impossible into possible, Esperanto.

Содержит также строки, которые используются при заражении EXE-файлов Windows32:

KERNEL32.DLL USER32.DLL GetModuleHandleA GetProcAddress MessageBoxA CreateFileA CreateFileMappingA MapViewOfFile UnmapViewOfFile CloseHandle FindFirstFileA FindNextFileA FindClose LoadLibraryA GetLocalTime


Содержание раздела