Энциклопедия компьютерных вирусов

         

Frodo, семейство


Резидентные очень опасные стелс

-вирусы. Трассируют и перехватывают INT 13h, 21h, затем записываются в конец COM- и EXE-файлов при их запуске или закрытии. Возможно поражение файлов данных. Дописывают свою копию так, чтобы размер файла увеличился ровно на 4096 байт (см. описание вируса "Eddie

.2000"). У пораженных файлов увеличивают значение времени последней модификации на 100 лет. У COM-файлов изменяют первые 6 байт, у EXE-файлов - заголовок. При создании резидентной копии располагаются в старших адресах, что приводит к заражению файла COMMAND.COM. Устанавливают в своем MCB адрес владельца (owner), совпадающий с адресом владельца первой MCB в системе, маскируясь под DOS. В дальнейшем копия вируса может перемещаться по памяти в направлении младших адресов, выделяя себе новые участки памяти и освобождая старые. Полноценные "стелс"-вирусы: обрабатывают 20 функций INT 21h, (FindFirst, FindNext, Read, Write, Lseek, Open, Create, Close, Exec и т.д.) и хорошо маскируются. При обращении DOS к зараженному файлу вирусы подставляют его первоначальную длину и время модификации. При чтении файла или загрузке его в память модифицируют считанную с диска информацию таким образом, что файл предстает в незараженном виде. При открытии файла для записи вирусы лечат его (так как запись в файл может уничтожить часть вируса) и снова заражают при закрытии. Проявляются с 22 сентября по 31 декабря ежегодно: уничтожают загрузочный сектор флоппи-дисков и MBR-сектор винчестера, записывая в них собственный код. При загрузке с такого диска на экран большими буквами (при помощи псевдографики) выводится фраза:

FRODO LIVES!

Демонстрации вирусных эффектов:

frodo.com



Содержание раздела