Энциклопедия компьютерных вирусов
При запуске зараженного файла копирует
Неопасный резидентный полиморфик
-вирус. При запуске зараженного файла копирует себя в видео-память по адресу BC00:0000, перехватывает INT 22h (Terminate), возвращает управление программе-носителю, ждет окончания ее работы (INT 22h) и перехватывает INT 21h (для этого записывает в ядро DOS команду длинного перехода на свой INT 21h). Затем вирус записывается в конец COM- и EXE-файлов при их запуске, открытии и чтении/записи их атрибутов. Довольно хорошо прячет себя в DOS-памяти: при запуске программ копирует себя в XMS, стирает свою копию в видео-памяти, восстанавливает INT 21h в первоначальном виде и перехватывает INT 22h. Свой обработчик INT 22h при этом копирует в ядро DOS (для этого ищет там свободное место). В результате при работе программ (включая антивирусы) код вируса отсутствует в DOS-памяти - его зашифованная копия хранится в XMS, а обработчик INT 22h (частично зашифрованный) ждет окончания работы программы, чтобы восстановить "статус-кво": перенести код вируса из XMS в видео-память и перехватить INT 21h. Вирус также использует антиотладочные приемы и шифровку "на-лету": перед вызовом своих процедур расшифровывает их, а затем зашифровывает при выходе из процедуры. Не заражает антивирусы -V.EXE, ADINF, AIDSTEST, AVP, CPAV, и т.д. в соответствии со строкой (по два символа на имя):
-VADAIAVCPDRF-FIGUIMIVMSNAPCSCSPSSSVTBTOV-VAVSWE
Уничтожает антивирусные базы данных: ANTI-VIR.DAT, AVP.CRC, CHKLIST.CPS, CHKLIST.MS, CHKLIST.TAV, CRC.SVS, FILES.VVL FINGERP.VVF IM.PRM IVB.INI, IVB.NTZ, MSAV.CHK, SMARTCHK.CPS, \AV.CRC, \BOOT.CPS, \BOOT.MS, \BOOT.NTZ, \BOOT.TAV, \IV.INI, \PART.NTZ В зависимости от своего случайного счетчика выводит тексты:
LEMENA'97 BOKEPH'97
Также содержит строки:
TBDRVXXX [LEMENA'97] by Bokeph from Batavia, Indonesia [MENA]
Демонстрации вирусных эффектов:
|
lemena.com |
