Энциклопедия компьютерных вирусов
         

Torpino


Неопасный резидентный полиморфик

-вирус. Имеет внушительный размер - около 11Кб ассемблерного кода. Зашифрован двенадцатью полиморфик-циклами. Записывается в конец COM- и EXE-файлов кроме COMMAND.COM.

При инсталляции своей TSR-копии вирус правит блоки распределения DOS-памяти, выделяет себе блок памяти размера 12Кб и копирует туда свой код. В том случае, если вирус запускается из зараженного WIN.COM или KEYB.COM (т.е. из файла, который находится в памяти до следующей перезагрузки) вирус не выделяет себе DOS-память, а остается резидентно как часть запущенной программы.

В завершение своей инсталляции вирус перехватывает INT 9, 1Ch, 21h (клавиатура, таймер, DOS-функции) и затум заражает COM- и EXE-файлы, к которым идет обращение (запуск, открытие, создание, и т.д.). Перед тем, как вернуть управление программе-носителю, вирус также заражает файлы:

C:\WINDOWS\COMMAND\KEYB.COM C:\DOS\KEYB.COM C:\KEYB.COM

Вирус использует анти-антивирусные приемы. При инсталляции в память он ищет и отключает резидентные мониторы TBAV и SCAN. Не заражает антивирусы: VIRSTOP2, VIRSTOP, F-PROT, SCAN, TBAV, NAV. Уничтожает антивирусные файлы данных: CHKLIST.MS, ANTI-VIR.DAT.

При первом запуске на компьютере вирус создает файл KEYB.SYS в одном из каталогов C:\WINDOWS, C:\DOS или в C:\ (корневой). Вирус записывает туда текст:

Do not modify this file! keyboard=1,0,x keyboard=1,0,x keyboard=1,0,x keyboard=1,0,x keyboard=1,0,x yy

где 'x' - любые ASCII-символы, а 'yy' - счетчик запусков зараженных файлов. В зависимости от этого счетчика вирус активизирует свои проявления, которые вызываются из перехватчиков INT 9 и INT 1Ch. Начиная с 1000 они выводят различные сообщения, меняют строки на экране, меняют символы в буфере клавиатуры и т.п. Начиная с 800-го запуска зараженной программы вирус также дописывает в файлу C:\AUTOEXEC.BAT команды, которые выводят одно из случайно выбранных сообщений:

Your keyboard has expired its evaluation period! Please, register to Microsoft(c) Corporation.

Found hardware error on video card (code 23001): Please, move your monitor and reboot the PC.


Found error: ah ah ah ah... eh eh eh eh....... uh uh uh uh.... Dr.SCSI & Mr.IDE

Your Hard Disk is boring to live... Youthanasia will start now... (formatting C:)

Found Boot error: replace the TORPINO Card and reboot the system immediately !

This message is a property of F-PROT Antivirus: Please, contact Fridrick for more info...

Вирус проверяет данные в дополнительном файле C:\TORPASS.DAT и в зависимости от его содержимого отключает некоторые свои проявления (если первые 4 байта этого файла совпадают с серийным номером диска C:). Если пятый байт этого файла ненулевой, вирус пищит спикером компьютера при заражении каждого очередного файла.

Вирус содержит строки текста, некоторые из них используются в эффектах вируса:

TORPINO You are a Torpiner

C O N G R A T U L A T I O N S ! Your PC is my new house ! I'm not a destroyer... I'm the incredible Virus... --> T O R P I N O (c) <-- Turn on Sound Blaster Speakers !

We Thank Very Much The F-PROT Antivirus For The Contribution To The Spread Of This Virus... Have A Good Time ! By The Virus TORPINO (C) Ver. 2.0, Copyright(C) 1997 By DR.SCSI And Mr. IDE. Total Rows Code: 3474, Coded In ITALY, Around MATERA, In July-December 1997. Direct Support: Our Heads; Dave Mustaine; Billy (A Programmer Dog!). Indirect Support: The Great Dark Avenger; N.R.L.G Team; Peter Norton (Smack !); Our WorkStation: Two 486; The Obscure Author Of Tentacle.


Содержание раздела