Энциклопедия компьютерных вирусов
Evolution, семейство
Очень опасные резидентные полиморфик
-стелс
-вирусы. При инсталляции трассируют и перехватывают INT 13h, 21h, перехватывают также INT 9. Записываются в конец EXE-файлов при их запуске, переименовании или закрытии. При открытии зараженного файла загружают его в память, трассируют до момента, когда код вируса оказывается расшифрованным, и после этого лечат зараженный файл, используя расшифрованные данные. Таким образом вирусы реализуют стелс-алгоритм. При каждом 256-м вызове INT 13h вирусы инверсируют один случайно выбранный бит записываемой/считываемой информации. При нажатии Alt-Ctrl-Del вирусы проверяют свои внутренние счетчики и в зависимости от их значения выводят текст (первый - на китайском) и перезагружают компьютер:
"Evolution.2761": -=0рсо|ъ[0+Рф/D+Х-rv+##||+уС0э1'o+#+Яa|k \ич-#+Dec 1993#|6-
"Evolution.2770": -=0 Evolution 2001 Virus was done by lord Salivantis - Nov/Dec 1993 0=-
Вирусы активно используют инструкции процессора i386. При инсталляции (если процессор находится в real mode) копируют таблицу векторов прерываний в свое тело и устанавливают указатель Interrupt Descriptor Table Register на эту скопированную таблицу. В результате процессор будет обращаться к этой таблице при вызове прерываний. Стандартная таблица (по адресам 0000:0xxx) не будет используется процессором, например, ее можно затереть нулями, но компьютер по-прежнему останется работоспособным. Этот алгоритм направлен против отладчиков и антивирусных программ, поскольку отладчики не смогут установить INT 01/03, а антивирусные программы не определят реальные адреса "вирусных" прерываний INT 13h, 21h, 25h, 26h.
