Энциклопедия компьютерных вирусов
INT 21h
Перехватывает пять DOS-функций: 4B00h (Execute), 43h (Get/Set File Attribute), 3Dh (Open), 4Eh и 4Fh (FindFirst/Next ASCII). При обращениях к файлам заражает их. При вызовах FindFirst/Next подставляет первоначальную длину зараженных файлов ("стелс").
При всех этих вызовах вирус расшифровывает свой TSR-код, вызывает INT ABh, затем зашифровывает TSR-код и возвращает управление обработчику INT 21h. Когда управление возвращается первоначальному INT 21h, вирус восстанавливает два байта, затертые вызовом INT ACh, перехватывает INT 2Ah, ждет вызова INT 2Ah (этот вызов идет из ядра DOS), затем восстанавливает INT 2Ah и опять записывает в INT 21h команду INT ACh.
Вирус также перехватывает вызовы INT 21h, которые являются "Installation Check" некоторых вирусов и антивирусов, проверяет имя и расширение имени файла и проявляется различными способами (см. ниже).
