Энциклопедия компьютерных вирусов
TenBytes, семейство
Резидентные очень опасные вирусы. Перехватывают INT 21h и записываются в конец .COM- и .EXE-файлов при их загрузке в память. При заражении .COM-файлов изменяют его первые 32 байта на команду перехода на код вируса (JMP Far Loc_Virus; ...). В пораженных EXE-файлах возможны два варианта точки входа в вирус. Вирус активизируется только в том случае, если обработчик прерывания содержит слово FC80h (это условие всегда выполняется, если вектор прерывания 21h указывает в DOS на системный обработчик). Изменяет первые 5 байт обработчика (JMP Far Loc_Virus). Размещает резидентную копию по адресу 9800:0000 без корректировки MCB, что может вызвать зависание компьютера. При этом использует INT 1 и 3 и блокирует работу отладчика. Начиная с сентября при записи на диск (INT 21h, AH=40h) изменяет адрес сохраняемого буфера.
