Andryushka, семейство

Очень опасные резидентные полиморфик

-вирусы. Записываются в конец COM- и EXE-файлов, кроме COMMAND.COM. При старте зараженного файла ищут и заражают файлы в каталогах диска, затем перехватывают INT 21h, остаются резидентно и заражают файлы из своих TSR-копий при их открытии, выполнении, переименовании и т.д. "Andryushka.3536" при заражении переводит EXE-файлы в COM-формат (см. вирус "VACSINA"

). Внедрение вируса происходит в середину файла, при этом та часть заражаемого файла, куда записывается вирус, шифруется и дописывается к концу заражаемого файла. Вирусы достаточно сложно работают с обработчиками прерываний: сохраняют в своем теле часть обработчика INT 25h, а на освободившееся место записывают свой код (вызов INT 21h). При вызове INT 25h восстанавливают первоначальный обработчик INT 25h. Организуют счетчики в Boot-секторах дисков и в зависимости от их значения могут уничтожить несколько секторов на диске C:. При этом проигрывают мелодию и выводят на экран текст:

+-----------------------+ | Hello!!! | | My name is Andryushka | | I come from Perm,USSR | +-----------------------+

Также содержат текст "insuffisient memory".

Демонстрации вирусных эффектов:

Содержание раздела

---

---