Энциклопедия компьютерных вирусов

   ОФТАЛЬМОСКОПИЧЕСКИЕ ЛИНЗЫ здесь еще больше. |       

Заражение памяти


происходит довольно необычным способом - вирус записывает себя в HMA. Используя функцию INT 2Fh AX=4A02h, вирус выделяет себе 173 байта (а всего длина вируса - 297 байт), копирует туда свой код и перехватывает INT 2Fh. Адрес INT 2Fh берет прямо из DOS, из одного очень "хитрого" адреса (это работает в DOS 6.0+). В тот же адрес вирус записывает указатель на свой обработчик INT 2Fh. При этом вирус внедряет свою процедуру обработки INT 2Fh в самую сердцевину DOS. Затем вирус переименовывает C:\Q.COM в C:\WINSTART.BAT и уничтожает C:\Q.COM (это нужно сделать, так как если WINSTART.BAT уже присутствует, то команда Rename работать не будет, и файл Q.COM не будет удален при попытке переименования). Затем вирус ставит у C:\WINSTART.BAT атрибут read-only и возвращает управление DOS. В результате в HMA сидит вирус, который перехватывает INT 2Fh, а на диске C: лежит файл WINSTART.BAT.



Содержание раздела