Энциклопедия компьютерных вирусов
         

DirII, семейство


Резидентные очень опасные "стелс"

-вирусы, поражают .COM- и .EXE-файлы при чтении и записи секторов каталогов, содержащих информацию об этих-файлах. Свое тело хранят в последнем кластере инфицированного логического диска, этот кластер помечается как последний в цепочке кластеров. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длины и содержимое кластеров с этими файлами не изменяются, а на все зараженные файлы на одном логическом диске приходится только одна копия вируса. При инициализации проникают в ядро DOS, изменяют адрес системного драйвера дисков и затем перехватывают все обращения DOS к этому драйверу. В вирусе реализован мощный "стелс"-механизм на уровне системного драйвера, в результате чего вирус в зараженных файлах не виден при чтении файла ни через INT 21h, ни через INT 25h. При этом вирус обращается напрямую к ресурсам DOS и "пробивает" практически любые антивирусные блокировщики. Стремительно распространяются: при попытке запуска несуществующего файла DOS будет искать его во всех каталогах, отмеченных в PATH. При этом вирус перехватывает обращения DOS к каталогам и заражает файлы во всех каталогах, указанных в PATH. При первом старте вирусы семейства поражают все файлы текущего каталога диска C:. Некоторые вирусы семейства содержат тексты:

"DirII.1024.c": For pirates... "DirII.1024.v": Не забудь поздравить себя с дн0м рождения 20 октября. "DirII.1024.w": По Интегралу плывет пирога,в ней едут хиппи,их очень много. БОИНГ-748 ПО-2 ТУ-144

"DirII.2048" занимает два сектора на диске. Он также перехватывает INT 8 (таймер) и проигрывает мелодию. Не заражает COMMAND.COM. "DirII.Dragon" для заражения корневого каталога диска C: открывает файл c:\dragon.com. В зависимости от некоторых условий стирает файлы строкой:

DRAGON ver 1.0 Copyright (c) MicroVirus Corp. 1993 The Lords of the Computers ! DRAGON - the Lord of Disks ! anti

"DirII.TheHndv" ("ByWai") - полиморфик

-вирус, создает файл CHKLIST.MS и записывает туда свою копию. Проигрывает мелодию, выводит текст:

TRABAJEMOS TODOS POR VENEZUELA !!!

Также содержит строки:

The-HndV CHKLIST MS <by:Wai-Chan,Aug94,UCV>

Демонстрации вирусных эффектов:

dirii.com



Содержание раздела