Энциклопедия компьютерных вирусов

         

Перехватывают INT 13h, 21h. Шифруют


Перехватывают INT 13h, 21h. Шифруют основную часть своего TSR-кода и шифруют/расшифровывают ее "на лету" при вызовах INT 21h. Для этого копируют часть перехватчика INT 21h в таблицу векторов прерываний и в область данных DOS по адресам 0000:0200 и 0060:0000, затем устанавливают INT 21h на адрес 0060:0000. Когда этот код получает управление, он расшифровывает основной TSR-код вируса (расшифровщик лежит по адресу 0000:0200) и отдает ему управление. При создании COM- и EXE-файлов вирус запоминает их handle и записывается в конец файлов при их закрытии. По 13-м числам заражает COM-файлы вирусом "MiniMad.279" (см. ниже). При запуске каждого файла вирус в зависимости от своего счетчика помещает строку "MAD" в буфер клавиатуры. При запуске файлов WIN*.* отключает драйвер мыши и выводит текст:

WINDOWS MUST DIE!

При записи в MBR винчестера (INT 13h) вирус шифрует ее. При чтении зашифрованной MBR подставляет ее незашифрованный образ. Вирусы семейства используют антиотладочные приемы. Под отладчиком стирают сектора винчестера. Содержат строки:

"MAD.3544":

MAD 1.5a Copyright by Black Angel 03-08-96 : a New Beginning

"MAD.4340":

BUILD40 MAD 1.7 (C)opyright by Black Angel(from Moscow!) 29-09-96 : Next version...


Содержание раздела