Энциклопедия компьютерных вирусов
Один из первых известных файловых
Один из первых известных файловых вирусов, работающих в защищенном режиме процессора i386. Заражает COM- и EXE-файлы (кроме COMMAND.COM) при их запуске или открытии. При заражении файлов шифрует себя полиморфик-методом и записывается в начало COM-файлов и в середину EXE-файлов (между EXE-заголовком и основным телом файла). Первоначальный код/данные файла вирус записывает в его конец. При запуске зараженного файла вирус копирует себя в расширенную память, переходит в защищенный режим процессора i386 и перехватывает INT 1 (трассировка) и INT 9 (клавиатура). В результате перехода в защищенный режим оказывается невидимым для обычных DOS'овских антивирусов и утилит просмотра памяти. Для перехвата DOS-функций запуска и открытия файлов вирус использует особенности отладочного режима процессора i386: устанавливает одну из отладочных точек останова на адрес INT 21h. В результате, когда управление передается на INT 21h, процессор генерирует прерывание INT 1, и вирус получает управление и заражает файлы. Ищет в DOS-памяти какой-то код (антивирус?) и правит его. Не устанавливает себя в память, если нет EMS-драйвера. При работе Windows вирус выключает свой отладочный механизм перехвата INT 21h и восстанавливает его после выхода из Windows при первом же нажатии на какую-либо клавишу. Содержит ошибки и в некоторых случаях завешивает систему. Содержит текст:
WANDERER,(c) P. Demenuk
