Энциклопедия компьютерных вирусов
Перехватывает закрытие вновь создаваемых файлов
Опасный резидентный полиморфик
-вирус. Перехватывает закрытие вновь создаваемых файлов и записывается в их конец (т.е. заражает файлы при их копировании, восстановлении с backup или распаковке архивов). Использует метод заражения, напоминающий вирусы "OneHalf"
и "Bomber"
: в заражаемые файлы по случайным адресам записываются 10 блоков кода, которые последовательно передают управление от блока к блоку, расшифровывают вирус и затем передают управление на код вируса. При этом вирус использует несколько антиотладочных приемов. При заражении памяти вирус записывает в обработчики INT 1Ch, 21h, 2Fh команды вызова INT A0h, A1h, A2h и затем перехватывает INT A0h-A2h. Перехвата прерываний происходит не всегда корректно, и вирус в некоторых случаях завешивает систему. После заражения памяти вирус заражает вновь создаваемые файлы. При этом не заражает COMMAND.COM и антивирусы SCAN и NAV (в соответствии со строкой "ANAVNDOD", содержащей по два последних символа имен файлов) Перехват INT 2Fh используется только для опознавания своей резидентной копии: вирус вызывает INT 2Fh, AX=4C69h, DX=6768h, TSR-копия возвращает AX=746Eh (в ASCII: AX="Li", DX="gh", AX="tn"). INT 1Ch: в зависимости от своих счетчиков и активности клавиатуры вирус записывает какие-то данные в клавиатурные порты.
