OS2.AEP

Безобидный нерезидентный NewEXE-вирус, заражает файлы OS/2. Это первый известный вирус для OS/2, который заражает файлы "правильно": записывает себя в файл и корректирует заголовок файла (точку входа и т.д.). При запуске ищет EXE- и DLL-файлы, проверяет у них наличие заголовка NE, маркер OS/2, затем записывается в середину файла. При заражении берет номер сегмента кода, содержащего точку входа в файл, сдвигает все остальные сегменты вниз и записывает себя в образовавшуюся "дыру". Затем корректирует NewEXE-заголовок и системные таблицы ссылок и внешних имен. После чего возвращает управление программе-носителю.

Файл до заражения Зараженный файл

+----------------+ +----------------+ |MZ DOS Header | |MZ DOS Header | |----------------| |----------------| |NE NewEXE Header| |NE NewEXE Header| |----------------| |----------------| |System Tables |точка| |System Tables | |----------------|входа| |----------------| |Seg 1 |<----+ |Seg 1 |<--+ | | | | | |----------------| --+ |- - - - - - - - |<---- точка входа |Seg 2 | | |Virus | | |----------------| | | |---+ возврат в первоначальную ... +--> |----------------| точку входа |----------------| |Seg 2 | |Seg n | |----------------| +----------------+ --+ ... | |----------------| | |Seg n | +--> +----------------+

При заражении использует вызовы: DosAllocSeg DosFreeSeg DosChgFilePtr DosClose DosFindFirst DosFindNext DosOpen DosRead DosWrite Содержит строки:

Содержание раздела