Энциклопедия компьютерных вирусов

         

Очень опасный резидентный вирус. Перехватывает


Очень опасный резидентный вирус. Перехватывает INT 10h, 13h, 16h, 21h и остается резидентно в памяти. При запуске файлов, при вызове DOS-функции GetDiskSpace то вирус ищет .COM- и .EXE-файлы и записывается в их конец. Вирус также ищет и заражает файлы при вызовах INT 10h, если в этот момент не выполняются прерывания DOS (INT 21h). Особое внимание уделяет файлу C:\COMMAND.COM и заражает его методом, похожим на метод вируса "Peasant"

- записывает в начало COMMAND.COM 512 байт своего загрузчика, и остальную часть вируса и первоначальный код COMMAND.COM записывает в неиспользуемые сектора первого трека винчестера. При запуске зараженного COMMAND.COM загрузчик вируса считывает код вируса из секторов винчестера, перехватывает прерывания и остается резидентно в памяти, затем восстанавливает код COMMAND.COM и возвращает ему управление. Такой способ заражения может испортить данные на диске. Плюс к этому вирус во многих случаях завешивает систему при заражении системной памяти - использует настолько хитрые способы перехвата и освобождения векторов прерываний, что часто портит ядро DOS. В зависимости от системной даты, времени и некоторых других условий выводит сообщения на китайском и:

THIS FILE MAY BE INFECTED WITH VIRUS TO KILL VIRUS,YOU CAN REINSTALL THIS FILE IDEARS AUTO_ANTI_VIRUS SOFTWARE GROUP AAV MARK:4540055520

AUTO_ANTI_VIRUS THIS FILE IS SAFE THANKS FOR USE AAV IDEARS AUTO_ANTI_VIRUS SOFTWARE GROUP AAV MARK:4540055520


Содержание раздела