Энциклопедия компьютерных вирусов
в системной памяти. Активно использует
Опасный резидентный полиморфик
-вирус. Зашифрован как в файлах, так и в системной памяти. Активно использует 386-е инструкции и работает только на процессорах 386 и выше. Использует большое количество антиотладочных приемов, часть которых основана на особенностях процессора i386. При запуске зараженного файла вирус расшифровывает свой код несколькими полиморфик-циклами и инсталлируется в системную память. Для противодействия отладчикам вирус временно перехватывает INT 1, 6, 0Dh, 34h и выполняет несколько довольно сложных анти-отладочных процедур. Вирус также ищет в памяти какую-то программу (резидентный антивирус?) и правит ее код. Затем вирус освобождает прерывания, перехваченные до того, выделяет себе блок памяти, копирует туда свой TSR-код, перехватывает INT 6, 9, 10h, 1Ch, 21h, 2Fh, 77h и остается резидентно в памяти. Перед тем как возвратить управление программе-носителю, вирус ищет COM- и EXE-файлы и заражает их. Вирус перехватывает INT 10h, но никак его не использует. INT 77h используется только для определения своей TSR-копии и предотвращения повторного заражения памяти. Перехват INT 2Fh используется для детектирования вызова MS-Windows AX=1605h, в этом случае вирус удаляет себя из памяти. Перехватывает несколько функций INT 21h. При вызове Keep (AH=31h) вирус "присоединяет" свой код к программе, которая остается резидентной. При вызове Execute (AX=4B00h) вирус заражает запускаемый файл. При вызове ChangeDir вирус ищет COM- и EXE-файлы и заражает их. При запуске файла LOGIN.EXE вирус активизирует свою процедуру взлома паролей: запоминает символы, вводимые с клавиатуры (для этого вирус перехватывает INT 9). Затем вирус сохраняет их в файл C:\RUSSIAN.FNT при окончании работы LOGIN.EXE (INT 21h, AH=4Ch). Вирус записывает себя в COM- и EXE-файлы длиной меньше 55K. Не заражает файлы: COMMAND.COM, *HIEW.EXE и *EB.EXE. При заражении EXE-файлов конвертирует их в формат COM. При заражении файлов вирус ищет в их коде заголовки C/Pascal-подпрограмм:
55 PUSH BP 8B EC MOV BP,SP
и записывает вместо этого кода байты FFFFh. Если такая процедура получает управление, процессор генерирует INT 6 (Unknown Opcode), управление перехватывается обработчиком INT 6 в вирусе, который восстанавливает этот код и возвращает управление прерванной процедуре. В результате такие файлы практически невозможно вылечить, но они остаются работоспособными под зараженной системой, если не установлены memory managers типа QEMM. Если установлен QEMM или аналогичная утилита управления памятью, то вирус не получает управления по INT 6. Для того чтобы защитить свой TSR-код от деактивации, вирус подсчитывает CRC-суммы трех своих основных процедур (заражение, INT 9 и INT 21h) и при каждом вызове INT 1Ch проверяет их. Для того чтобы защитить код своего обработчика INT 1Ch вирус хранит его "backup"-копию и при каждом вызове INT 9 сравнивает "backup" с оригиналом. Под отладчиком или в том случае, если не сошлись CRC-суммы, вирус стирает CMOS, пищит спикером компьютера и завешивает систему. При инсталляции вирус проверяет тип процессора и, если процессор ниже 386, выводит текст:
386 or later processor missing. Please replace processor, then press any key...
Также иногда сообщает:
Warning : This file is infected by Apparition !
Также содержит строки:
Here I am, can you see me Passing through, on my way To a place I'd been to only in my dreams ...before *.COM *.EXE C:\RUSSIAN.FNT **************** THE APPARITION THE APPARITION II Multi Layer Coder v 2.00. Jul '96
