Энциклопедия компьютерных вирусов
файлов при их запуске, открытии
Опасный резидентный полиморфик
-вирус. Перехватывает INT 21h и записывается в конец EXE- файлов при их запуске, открытии и при изменении атрибутов файла. Свою TSR-копию хранит в ядре DOS, XMS-памяти и видео-памяти. Содержит ошибки и иногда вешает компьютер. При заражении файлов проверяет их имена и не заражает антивирусы в соответствии со строкой (два символа на имя):
-VADAIAVCPDRF-FIGUIMIVMSNAPCSCSPSSSVTBTOV-VAVSWE
Уничтожает антивирусные файлы данных:
ANTI-VIR.DAT AVP.CRC CHKLIST.CPS CHKLIST.MS CHKLIST.TAV CRC.SVS FILES.VVL FINGERP.VVF IM.PRM IVB.INI IVB.NTZ MSAV.CHK SMARTCHK.CPS \AV.CRC \BOOT.CPS \BOOT.MS \BOOT.NTZ \BOOT.TAV \IV.INI \PART.NTZ
Довольно сложно инсталлирует себя в память: выделяет блок XMS-памяти, копирует туда свой код, затем вычисляет адрес System FCB Tables, уменьшает их количество и в освободившееся место записывает 94h байт своего "XMS manager". Затем перехватывает INT 22h, отдает управление программе-носителю, ждет окончания ее работы (INT 22h) и записывает команду перехода на INT 21h вируса в оригинальный обработчик INT 21h в ядре DOS (перехватывает INT 21h). В результате вирус хранит свой код только в XMS, за исключением кода своего "XMS manager". При необходимости вирус копирует свой код из XMS в видео-память по адресу BBF0:0100 и стирает эту копию, если она не нужна. Помимо перечисленных выше содержит строки:
TBDRVXXX [DIAMETRIC by Rajaat / Genesis] [RTFM]
16 мая в зависимости от своих счетчиков вирус проявляется видео-эффектом: выводит текст "DIAMETRIC" и передвигает сивмолы так, что получается текст "MATRICIDE".
Демонстрации вирусных эффектов:
|
diametri.com |
