Энциклопедия компьютерных вирусов
Зараажет файлы при их копировании
Опасный резидентный стелс
-полиморфик
-вирус. Записывается в конец COM- и EXE-файлов. Зараажет файлы при их копировании на дискеты, также при инсталляции в память ищет и заражает несколько файлов на диске C:. В зависимости от своих случайных счетчиков заражает COM-файлы вирусом "Small.66.b" Использует несколько уровней шифрования. Первый уровень - полиморфик, второй - с использованием антиотладочных приемов, третий - шифровка "на лету": большая часть кода вируса постоянно зашифрована, при необходимости вирус расшифровывает процедуру, выполняет ее и снова зашифровывает с новым ключем. Вирус использует и другие анти-отладочные приемы, некоторые из них некорректны, и вирус завешивает систему на Pentium PC. Резидентен, но оставляет в системной памяти (в области данных DOS по адресу 0054:0000) всего 200 байт кода своего обработчика INT 21h. Полностью свой код шифрует и записывает в неиспользуемые сектора первого трека диска C:. При необходимости вирус считывает этот код в видео-память, расшифровывает и вызывает его. При перехвате INT 21h патчит ядро DOS. Перехватывает несколько функций INT 21h: Read, Write, Seek, FindFirst/Next, Get File Date&Time (все перечисленные используются в стелс), Execute, Create, Close. При создании COM- и EXE-файлов на дискетах вирус запоминает их Handle и заражает при закрытии. При запуске ADINF.EXE вирус выводит на экран "кашу" и текст:
Divide overflow
Содержит также строки:
JESUS CHRIST SUPERSTAR (C)PK 10/94
