Энциклопедия компьютерных вирусов
Заражение
При инсталляции в системную память Windows вирусный VxD-драйвер перехватывает вызовы IFS (Installable File System) API и цепочку V86 INT 13h. В результате вирус перехватывает как файловые, так и секторные события.
IFS-перехватчик вируса обрабатывает только вызовы открытия файлов. При этом вирус определяет имя файла и в зависимости от его типа вызывает различные процедуры заражения: выполняемых файлов PE EXE и SCR (скрин-сейверы) и архивов LHA, LZH, PAK, ZIP, ARJ, RAR. Особое внимание вирус уделяет файлу MIRC32.EXE: при обращениях к нему вирус вызывает свою процедуру размножения через канал IRC.
При заражении PE-файлов вирус проверяет их внутренний формат, модифицирует заголовок файла, создает в конце файла новую секцию со случайным именем и записывает в нее свой код.
При открытии файла MIRC32.EXE вирус создает в текущем каталоге троянский файл REVENGE.COM. Этот файл при запуске устанавливает случайный пароль на BIOS. Этот прием работает только на BIOS-ах AWARD и AMI, троянец портит CMOS на других типах BIOS. Затем троянец завешивает компьютер.
Затем (после создания файла-троянца) вирус открывает файл MIRC.INI и записывает в его конец команду, снимающую защиту:
[fileserver] Warning=Off
Вирус затем создает файлы SCRIPT.OLD, SCRIPT.INI и INCA.EXE. Файл INCA.EXE содержит дроппер вируса, скрипт файла SCRIPT.INI пересылает этот дроппер в канал IRC, файл SCRIPT.OLD остается пустым и никак не используется вирусом.
При обращениях к архивам вирус сомостоятельно разбирает их форматы и добавляет к их содержимому свой дроппер. Этот дроппер имеет внутренний формат COM, случайное имя из четырех букв и случайно выбранное расширение — COM или EXE.
Зараженные EXE-файлы и COM-дропперы зашифрованы полиморфик-кодом и имеют схожие структуры: процедуру инсталляции в каталог Windows и код VxD-дроппера. Процедура инсталляции определяет местоположение каталога Windows, записывает туда VxD-дроппер под именем FONO98.VXD и регистрирует его в файле SYSTEM.INI. Следует отметить, что VxD-код в PE- и COM-файлах упакован при помощи достаточно примитивной процедуры компрессии данных.
Перехватчик INT 13h заражает дискеты объема 1.4Mb. При заражении вирус записывается на дискеты тремя блоками: полиморфный загрузчик, дроппер и VxD-код. Загрузчик считывает и выполняет код дроппера, который затем переносит VxD-код вируса с дискеты в каталог Windows.
