Энциклопедия компьютерных вирусов
Baran, семейство
Резидентные полиморфик
-вирусы. Перехватывают INT 21h и записываются в конец COM- и EXE-файлов. "Baran.3294" заражает файлы при их запуске или закрытии. "Baran.4968" также заражает запускаемые и закрываемые файлы, но делает это также и при вызове FCB-функции закрытия файлов. Перехватывают INT 21h нестандартными способами. Обработчик INT 21h в вирусе "Baran.3294" содержит всего одну команду - вызов INT 1 (CDh 01h). Вирус также перехватывает INT 1, и управление в результате передается на обработчик INT 1 в теле вируса. Этот обработчик содержит подпрограммы заражения файлов. "Baran.4968" трассирует INT 13h, 21h, записывает в код INT 21h в области DOS (первоначальный DOS-обработчик INT 21h) вызов INT 29h (CDh 29h), затем записывает в код обработчика INT 29h команду FAR JMP_Virus. В результате в код вируса попадают вызовы INT 21h и INT 29h. Вирус проверяет адрес вызвавшей программы и передает управление либо на первоначальный обработчик INT 29h, либо на подпрограмму обработки вызовов INT 21h. Если вирус не может перехватить INT 21h таким способом, то он заражает командный процессор (COMMAND.COM), на который указывает системная строка COMSPEC=. Если загружен MS Windows, то вирус также заражает файл, который запускается при выходе из Windows. "Baran.4968" является стелс
-вирусом. При открытии зараженного файла (FCB или Handle), при его загрузке как оверлея или отладке вирус лечит файл. Вирус также проверяет имена файлов и не заражает IBMBIO.* и IBMDOS.*. "Baran.3294" неопасен. В зависимости от системного времени выводит текст:
Gwadera to baran !
"Baran.4968" очень опасен. В зависимости от своего счетчика портит данные, записываемые на диск. Содержит строку:
Unknown destroyer v1
