Энциклопедия компьютерных вирусов
В зависимости от системных условий
Опасный резидентный полиморфик
-стелс
-вирус. Перехватывает INT 9, 21h и заражает COM-, EXE- и SYS-файлы. В зависимости от системных условий либо перехватывает INT 21h обычным способом, либо трассирует и патчит код обработчика INT 21h, встраивая в него вызов INT xx, где "xx" случайно выбирается из списка неиспользуемых прерываний.
Заражает файлы при обращениях к ним и записывается в их конец. Признаком заражения служит дата создания файла: текущий год + 100. При чтении из файла и при поиске файлов вызывает свои стелс-процедуры. При записи в зараженные файлы вирус лечит их.
Проверяет имена заражаемых файлов по списку:
PKZIP,RAR,ARJ,LHA,ARC,DEFRAG,SPEEDISK,CHKDSK,BACKUP,MSBACKUP,SCANDISK,NDD
В случае совпадения имени вирус отключат все свои стелс-функции. Если запускается файл WIN.COM, то вирус подставляет в его командную строку параметр '/d:c'. Не заражает файлы, начинающиеся с символов:
FI,SC,VS,TB,DR,AV,F-,FP,AD,CO
При запуске файлов по понедельникам в 5 минут каждого часа вызывает функцию для клиентов сети Novell NetWare : SEND BROADCAST MESSAGE с текстом:
External System Error #05. Connection refused.
В понедельник в 17 часов вызывает команду SYSTEM LOGOUT.
Вирусный обработчик INT 9 отслеживает коды нажимаемых клавиш. В том случае, если вводится строка 'KSENIA', вирус выводит текст и останавливает работу компьютера:
123 4 5 Deadman
5-го мая при вызове функции 0Eh (установить диск по умолчанию) вирус вызывает прерывание INT 26h (удаление секторов диска) для всех секторов диска.
Помимо перечисленных выше вирус содержит строки текста:
[KSENIA] Version 0.99 alpha Copyright (C) 01/02/99 10:29:34 by Deadman The Global Project devoted to Ksenia Chizhova
