Энциклопедия компьютерных вирусов
Резидентные очень опасные вирусы. Изменяют
Резидентные очень опасные вирусы. Изменяют INT 13h, 21h, 27h. Быстро размножаются: инфицируют файл при загрузке его в память для выполнения, при создании, закрытии и переименовании файла, при чтении или изменении его атрибутов. Вирусы следят за тем, чтобы длины заражаемых файлов увеличивались ровно на 2000 (или 2100) байт (к EXE-файлам, помимо выравнивания на границу параграфа, дописывается необходимое число байт). У заражаемых файлов устанавливается новое значение секунд даты последней модификации файла - 62 секунды. "Eddie.2000" предпринимает ряд эффективных мер для того, чтобы остаться незамеченным, многие из них повторяют аналогичные меры вируса "Eddie.1800". Маскирующую функцию играет длина вируса: достаточно трудно заметить приращение длины, кратное 1000 байтам. Введена и другая функция защиты: вирус перехватывает функции DOS FindFirst/Next FCB и "уменьшает" длины зараженных файлов на 2000 байт. "Eddie.2100" дополнительно к этому обрабатывает функции FindFirst/Next ASCII; исправлена ошибка, из-за которой команда DIR сообщала, что длина файла около 4 гигабайт (см. описание вируса "Eddie.651"). Непонятным образом манипулирует с секторами винчестера, видимо, пытается либо активизировать, либо вылечить неизвестный мне загрузочный вирус. Вирусы "Eddie.2000" и "Eddie.2100" очень опасны: как и вирус "Eddie.1800" они стирают сектора со случайными номерами. При этом вирусы обращаются напрямую к драйверу, обслуживающему диск, и обходят многие резидентные блокировщики. Если в теле запускаемой программы содержится строка "Vesselin Bontchev" (Весселин Бончев - автор известных болгарских антивирусов), то вирус зацикливается и система зависает.
