Энциклопедия компьютерных вирусов

https://lehome.ru/katalog/kresla/?f_modern          

В зависимости от системных условий


Опасный резидентный полиморфик

-стелс

-вирус. Перехватывает INT 9, 21h и заражает COM-, EXE- и SYS-файлы. В зависимости от системных условий либо перехватывает INT 21h обычным способом, либо трассирует и патчит код обработчика INT 21h, встраивая в него вызов INT xx, где "xx" случайно выбирается из списка неиспользуемых прерываний.

Заражает файлы при обращениях к ним и записывается в их конец. Признаком заражения служит дата создания файла: текущий год + 100. При чтении из файла и при поиске файлов вызывает свои стелс-процедуры. При записи в зараженные файлы вирус лечит их.

Проверяет имена заражаемых файлов по списку:

PKZIP,RAR,ARJ,LHA,ARC,DEFRAG,SPEEDISK,CHKDSK,BACKUP,MSBACKUP,SCANDISK,NDD

В случае совпадения имени вирус отключат все свои стелс-функции. Если запускается файл WIN.COM, то вирус подставляет в его командную строку параметр '/d:c'. Не заражает файлы, начинающиеся с символов:

FI,SC,VS,TB,DR,AV,F-,FP,AD,CO

При запуске файлов по понедельникам в 5 минут каждого часа вызывает функцию для клиентов сети Novell NetWare : SEND BROADCAST MESSAGE с текстом:

External System Error #05. Connection refused.

В понедельник в 17 часов вызывает команду SYSTEM LOGOUT.

Вирусный обработчик INT 9 отслеживает коды нажимаемых клавиш. В том случае, если вводится строка 'KSENIA', вирус выводит текст и останавливает работу компьютера:

123 4 5 Deadman

5-го мая при вызове функции 0Eh (установить диск по умолчанию) вирус вызывает прерывание INT 26h (удаление секторов диска) для всех секторов диска.

Помимо перечисленных выше вирус содержит строки текста:

[KSENIA] Version 0.99 alpha Copyright (C) 01/02/99 10:29:34 by Deadman The Global Project devoted to Ksenia Chizhova


Содержание раздела