Энциклопедия компьютерных вирусов

         

Beast, семейство


Семейство содержит практически совпадающие очень опасные стелс-вирусы. При запуске вирусы "отрезают" один системный буфер от цепочки буферов, копируют туда свое тело, перехватывают INT 21h и затем записываются в начало .COM-файлов при запуске или закрытии файла. Начало файла сохраняется в первом неиспользуемом секторе последнего кластера файла.

| <----------- Файл --------------------------> | +------------------------- --------------------------+ | кластер | кластер | ... | кластер | кластер | +------------------------- --------------------------+ ^ ^ ^ +- Начало вируса. Сохраненное начало файла ---+ | Неиспользуемый сектор ------+

Таким образом, при заражении длина файла не изменяется. У файла устанавливается время последней модификации - 62 секунды. В качестве рабочей области вирусы используют таблицу векторов прерываний (0:0200 - 03FF). Активно используют недокументированную область DOS - System File Table. Поражают файлы, которые имеют расширение имени .CO? (? - любой знак) и могут заразить файлы данных. Может произойти утеря файла при его копировании (последний кластер файла копируется не целиком). Произойдет потеря файла на диске, имеющем один сектор на кластере. Некоторые версии вируса содержат строку "666".



Содержание раздела