Энциклопедия компьютерных вирусов

         

TCE.Chaos-AD


Неопасный резидентный полиморфик-стелс-вирус. При заражении памяти использует несколько необычных приемов. Для того чтобы выяснить адрес INT 21h в DOS, вирус перехватывает INT 2Ah и вызывает функцию INT 21h. Когда управление доходит до обработчика INT 21h в DOS этот обработчик вызывает INT 2Ah, управление получает обработчик INT 2Ah в теле вируса. Вирус определяет адрес, откуда идет вызов INT 2Ah, и ищет в этой области код INT 21h. Вирус перехватывает INT 21h двума блоками. Первый блок вирус располагает в BIOS data area по адресу 0000:04B0, второй же блок содержится непосредственно в теле вируса. Первый блок, перед тем как отдать управление второму блоку, проверяет наличие отладчика. Если отладчик обнаружен, то вирус блокирует вызовы INT 21h. После заражения памяти вирус записывается в конец COM- и EXE-файлов при обращениях к ним. При открытии файлов лечит их. Проверяет имя программы, которая вызывает INT 21h и не лечит файлы, если они открываются архиватором (см. список ниже). Также отключает часть своих стелс-функций, если вызов идет от некоторых утилит работы с диском. Не заражает COMMAND.COM и некоторые антивирусы. Вирус содержит список таких имен (по два символа на имя), список выглядит следующим образом:

антивирусы: COF-AV-VTBVI00VB утилиты: CHSCDENDSPPR архиваторы: ARPKRAUCLHZIUUIV

Вирус также уничтожает антивирусные файлы: CHKLIST.MS, CHKLIST.CPS, ANTI-VIR.DAT. 64-е поколение вируса перехватывает INT 9, 2Fh и через некоторое время после инсталляции выводит текст:

- [CHAOS-AD] - CODED BY SEPULTURA - AUSTRALIA - 1995 - -=> LIVING-IN-A-DYING-AGE-PERSECUTE-THE-HUMAN-RACE <=- REFUSE RESIST RELOVE REMATE SUFFER REHATE REJECT PROGRESS PROCESS PROTEST NO REST



Содержание раздела