Энциклопедия компьютерных вирусов

         

Bebe, семейство


Нерезидентные опасные вирусы. Ищут и заражают .COM-файлы текущего каталога. Увеличивают размер заражаемого файла до параграфа, копируют себя в конец файла и изменяют его первые 14 байт ( PUSH AX; ... ; JMP FAR Loc_Virus). Содержат ошибку - не восстанавливают DTA при возврате управления к программе-носителю. Это может привести к зависанию компьютера. Еще одна тонкая ошибка: не учитывают наличие конвейера у процессоров Intel 80x86 и модифицируют следующую за текущей выполняемую команду, в результате чего работают только на старых моделях IBM PC и Pentium PC. Нерезидентны, но создают резидентные программы. Для этого копируют часть своего тела в таблицу векторов прерываний по адресу 0000:01CE и устанавливают на нее INT 1Ch или 21h. "Bebe.486" перехватывает INT 21h и при записи в файл (INT 21h, f.40h) меняет знаки '+' на '-' и '-' на '+' в записываемом буфере. "Bebe.1004" перехватывает INT 1Ch (таймер) и через некоторое время выводит на экран сообщение:

+-------- VIRUS ! ------+ | Skagi "bebe" > | +-----------------------+

После того как с клавиатуры вводится "bebe", вирус отвечает: "Fig Tebe!". По словарному запасу вируса можно вполне точно определить его происхождение.

Демонстрации вирусных эффектов:

bebe.com



Содержание раздела