Энциклопедия компьютерных вирусов
Неопасный резидентный зашифрованный вирус. Перехватывает
Неопасный резидентный зашифрованный вирус. Перехватывает INT 21h и записывается в конец COM- и EXE-файлов при их запуске или открытии. Содержит строки:
!#TEMP#! REQUEST.IVA RECEIPT.IVA CALLFAST.COM *.* Dementia] Copyright 1993 Necrosoft enterprises - All rights reserved I am the man that walks alone And when I'm walking a dark road At night or strolling through the park When the light begins to change I sometimes feel a little strange A little anxious when it's dark
При открытии любого ZIP-файла вирус ищет в нем файл REQUEST.IVA. Если такового в ZIP-архиве нет, то вирус создает файл CALLFAST.COM, записывает туда свой видео-эффект, заражает этот файл и сохраняет его в ZIP-архиве. Таким образом вирус "заражает" ZIP-файлы: после "заражения" ZIP-файл содержит копию вируса. Если в ZIP-архиве присутствует файл REQUEST.IVA и этот файл имеет специальный формат (в начале файла есть строка-идентификатор 92h,14h,76h,17h, за которой расположены имена файлов или маски поиска файлов), то вирус создает файл RECEIPT.IVA, ищет указанные в REQUEST.IVA файлы, записывает их в RECEIPT.IVA, шифрует результат и добавляет его (под именем RECEIPT.IVA) в ZIP-файл. Таким образом вирус может "воровать" файлы с зараженного компьютера. При обработке ZIP-файлов вирус не пользуется утилитами PKZIP/PKUNZIP, а самостоятельно разбирает записи ZIP-файлов, читает, записывает, добавляет новые записи. При создании новых записей вирус не пакует их, а записывает в неупакованном формате (метод "stored"). При запуске файла CALLFAST.COM (который записывается в ZIP-файлы) на экране появляется сообщение:
DEMENTIA (512)PRI-VATE 0 0 day wares 0 V-X 800 megs online 0 USR Dual 16.8k -\- Psychotech <Image> -/-
Демонстрации вирусных эффектов:
|
dementia.com |
