Phoenix, семейство

Очень опасныe резидентныe полиморфик

-вирусы. Заражают COM- и EXE-файлы при закрытии или выполнении. "Phoenix.Proud,Live" заражают только COM-файлы, "Phoenix.Live.a" не заражает COMMAND.COM. Пораженные EXE-файлы не распространяют вируса - в их конец записывается небольшой участок кодов вируса, стирающий при некоторых условиях всю информацию на всех установленных винчестерах. При заражении COM-файлов вирусы записываются в середину, сохраняя стираемую при этом часть файла в его конец (кроме COMMAND.COM - вирус записывается в область стека COMMAND.COM и не изменяет его длины). Затем у файла изменяются первые три байта (JMP Loc_Virus).

Заражение COM-файла Заражение файла COMMAND.COM +-----------+ +-----------+ +-----------+ +-----------+ | Файл | | Файл | |COMMAND.COM| |COMMAND.COM| | | | | | | | | | | | | | | | | | - - - - - | |-----------| | - - - - - | |-----------| | |--+ | Вирус | | | | Вирус | | - - - - - | | |-----------| | - - - - - | |-----------| +-----------+ | |- - - - - -| +-----------+ +-----------+ +-->| | +-----------+

При активизации вирусы семейства перехватывают INT 13h и затем в зависимости от некоторых условий случайным образом переставляют байты в считываемых или записываемых на диск блоках информации. Вирусы "Phoenix" впервые использовали два новых для компьютерной микробиологии приема. Во-первых, они отслеживают обращение DOS к файлам, используя INT 2Ah. Во-вторых, все они (кроме "Phoenix.Live.a") являются полиморфик-вирусами и не имеют постоянной маски (сигнатуры): основная часть вируса зашифрована, а программа расшифровки (длиной 32 байта) выбирается из 204 возможных вариантов (следует учесть, что вирусы семейства имеют длины: "Phoenix" - 1704 байт, "Phoenix.Evil" - 1701 байт, "Phoenix.Proud" - 1102 байт). Содержат в себе следующие текстовые строки (зашифрованные вместе с остальной частью вируса):

"Phoenix": PHOENIX "Phoenix.Evil": The evil that men do lives on and on and on... "Phoenix.Proud": Proudly made in Sofia "Phoenix.Live.a,b": Live after Death

Содержание раздела