Энциклопедия компьютерных вирусов
При создании своей резидентной копии
При создании своей резидентной копии копирует себя в таблицу векторов прерываний по адресу 0000:01E0. Затем заражает .COM-файлы при их загрузке в память, при открытии и создании. Изменяет первые 4 байта файла на команду мерехода на тело вируса (STI; JMP Loc_Virus). Если на компьютере установлена DOS 3.30, то вирус предпринимает маскирующие действия - вирус "знает" адрес обработчика INT 21h и адрес, по которому хранится исходное значение INT 13h. Используя это, вирус модифицирует память, занятую операционной системой, таким образом, что обрабатывает вызов прерывания 21h непосредственно перед DOS (записывает вместо первых пяти байт обработчика прерывания 21h команду перехода на вирус - JMP FAR Loc_Virus). С INT 13h вирус поступает проще - восстанавливает его первоначальное значение. Имеет деструктивные функции: в зависимости от счетчика времени может уничтожать файлы или создавать вместо файла подкаталог с таким же именем. Вирус периодически модифицирует EXE-файлы таким образом, что их запуск вызовет стирание секторов винчестера (стирается часть информации, расположенной на секторах, соответствующих 0-3 головкам записи/чтения). Содержит тексты:
v2 (c) Flu Systems (R) LoveChild in reward for software sealing
