Энциклопедия компьютерных вирусов

         

Devastator_II, семейство


Очень опасные резидентные стелс

-вирусы. Копируют себя в таблицу векторов прерываний (адрес 0000:0200) или в область данных DOS (адрес 0000:0500), перехватывают INT 13h, 21h и записываются в начало .COM-файлов при обращениях к ним DOS-вызовами FindFirst/Next ASCII. При запуске файлов DOS вызывает FindFirst, и вирусы, следовательно, поражают файлы также при их запуске. При заражении файлов используют метод, похожий на метод вируса "Int13"

: перемещают начало файла в его конец и запоминают абсолютный адрес (INT 13h), по которому сохраняется начало файла. Затем записывают себя в начало файла и не изменяют его длину. При необходимости (возврат управления программе-носителю или при чтении из зараженного файла) вирусы считывают первоначальный заголовок файла, используя вызов INT 13h. Естественно, что при копировании зараженных файлов копии вируса содержат неверные адреса и файлы оказываются испорченными. Вирусы содержат строку:

Devastator



Содержание раздела