Энциклопедия компьютерных вирусов
Drepo, семейство
Неопасные резидентные зашифрованные вирусы. При запуске зараженного EXE-файла вирус шифрует себя и записывает результат в область стека файла C:\COMMAND.COM, длина файла при этом не увеличивается (см. "Lehigh"
), затем записывает в точку входа файла (куда указывает JMP в начале COMMAND.COM) 2Eh байт процедуры расшифровки. Затем вирус возвращает управление зараженному EXE-файлу. Перед открытием на запись файла COMMAND.COM вирус считывает корневой каталог диска C: через INT 25h, ищет в считанном блоке запись "COMMAND COM", заменяет ее на "COMMAND LOM" и снимает атрибуты файла. Затем записывает результат на диск, заражает файл COMMAND.LOM (бывший COMMAND.COM), после чего восстанавливает первоначальное содержимое корневого каталога диска. Этот довольно сложный прием рассчитан, скорее всего, на обход резидентных мониторов. Остается резидентно в памяти при запуске зараженного COMMAND.COM, перехватывает INT 21h и записывается в конец EXE-файлов при их открытии или закрытии. При запуске архиваторов ARJ.EXE или RAR.EXE вирус резервирует область памяти для того, чтобы заражать пакуемые или распаковываемые файлы. Также перехватывает INT 9 (клавиатура) и через два месяца после заражения системы в зависимости от нажимаемых клавиш начинает пищать динамиком компьютера. Содержит строки:
ARJ.EXE RAR.EXE C:\COMMAND COM Pod na jedno DREPO! Shareware version. Do not forget to register!
