Энциклопедия компьютерных вирусов

         

April1st.EXE


Поражает .EXE-файлы. Опасен - не вполне корректно работает с длиной файла. При заражении внедряется в середину файла между заголовком (EXE header) и загружаемым модулем, при этом вирус: - создает файл TMP$$TMP.EXE; - считывает из заражаемого файла первые 1Bh байт заголовка, модифицирует в них байты, соответствующие длине модуля, стартовым значениям CS, IP, SS, SP, контрольной сумме файла (устанавливается значение 1984h); затем записывает модифицированный заголовок в файл TMP$$TMP.EXE; - копирует из заражаемого файла в TMP$$TMP.EXE таблицу настройки адресов (ТНА), модифицируя ее описанным ниже способом; - дописывает к файлу TMP$$TMP.EXE копию вируса и загружаемый модуль инфицируемого файла; - уничтожает заражаемый файл и переименовывает TMP$$TMP.EXE в имя заражаемого файла.

Незараженный файл Зараженный файл +-----------+ +-----------+ |EXE header | -------> |EXE header | |-----------| |-----------| |Загружаемый| ---+ |Вирус | |модуль | | | | | | | |-----------| | | -+ +---> |Загружаемый| +-----------+ | |модуль | | | | +-----> | | +-----------+

Поскольку загружаемый модуль файла при заражении смещается на расстояние, равное длине вируса, то вирусу приходится производить соответствующие изменения в ТНА: у каждого элемента ТНА содержимое байтов, соответствующих смещению сегмента, увеличивается на значение, равное длине вируса в параграфах. Начиная с 1 апреля 1988 г. при активизации расшифровывает (XOR FFh) и выводит текст:

APRIL 1ST HA HA HA YOU HAVE A VIRUS

и завешивает систему. В последующие дни текст не появляется, но вирус перехватывает INT 1Ch и завешивает систему приблизительно через 55 минут после активизации. Содержит строки:

sURIV TMP$$TMP.EXE



Содержание раздела