Энциклопедия компьютерных вирусов

         

Nephew family


Опасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM- и EXE-файлов. Уничтожают антивирусные файлы данных: CHKLIST.MS, CHKLIST.CPS, ANTI-VIR.DAT, CHKLST.TAV, SMARTCHK.TAV. Не заражает файлы HIEW, SAFE, SOS, и т.д. в соответствии со строками (по четыре символа на имя):

HIEWSAFESOS./WD.WARNCPAV ADINANTIAIDSVIRUVIR.SCANRWEBLD.EGUARCLEA

Пытаются (безуспешно) записать поверх файлов из второй строки (ANTI, AIDS, VIRU, VIR., SCAN и т.д.) программу, выводящую при запуске сообщение:

+--------------------------------------------------------------------+ | U N R E G I S T E R E D P R O G R A M ! | +--------------------------------------------------------------------+ This version is NOT freeware, you MUST register it! Call (+7-095)135-6253, 137-0150

При инсталляции вирусы сканируют ядро DOS, ищут драйвер DSKREET, модифицируют его код и встраивают в него вызов своей собственной подпрограммы, которая перехватывает какие-то события и в зависимости от них устанавливает свои внутренние флаги. В зависимости от этих флагов вирус записывает какие-то данные в последние сектора корневых каталогов дисков. Вирус использует при этом старый формат INT 26h и не работает с дисками объема более 32M.

Вирус также содержит строку:

(=) Big Nephew (=)



Содержание раздела