Энциклопедия компьютерных вирусов

         

файлов при их запуске или


Безобидный резидентный полиморфик

-вирус. Перехватывает INT 10h, 21h и записывается в конец COM- и EXE- файлов при их запуске или переименовании. Не заражает файлы: *CA?.*, *AN?.*, *ES?.*, *WE?.*, *IN?.* (SCAN, COMMAND, AIDSTEST, WEB, ADINF). Использует прием, который "прячет" вирус на карте памяти - блок кода вируса перехватывает только INT 10h. Для этого вирус копирует свой обработчик INT 21h в область данных BIOS по адресу 0000:04D0 и перехватывает INT 10h. Обработчик INT 21h при вызове DOS-функций Execute и Rename вызывает INT 10h AX=DEADh и, таким образом, вызывает процедуру заражения файлов. Вирус содержит строки:

[ Gremlin 1.04 / AVL ] [ KREG 1.01 / AVL ! [ Как видите, г-н Данилов, обмануть Ваш эвристический анализатор не так уж и трудно... ]


Содержание раздела