Энциклопедия компьютерных вирусов
кроме IBMBIO, IBMDOS, COMMAND) при
Опасный резидентный полиморфик-вирус. Перехватывает INT 21h и записывается в конец COM-файлов ( кроме IBMBIO, IBMDOS, COMMAND) при обращениях к ним. При запуске также ищет COM-файлы по маскам C:*.COM, C:\DOS\KEYB.COM, C:\DOS\*.COM, *.COM и заражает не более пяти обнаруженных файлов. После заражения уничтожает антивирусные базы данных:
CHKLIST.MS CHKLIST.CPS ANTI-VIR.DAT \SCANCRC.CRC \_CHK.CHK \NAV_._NO
Вирус проверяет имена запускаемых файлов и перехватывает запуск антивирусов и некоторых других программ. Список соответствующих имен в теле файла выглядит так:
SCAN.NETSCAN.CLEAN.VSHIELD.F-PROT.VSAFE.MSAV.CPAV.NAV.TBAV.TBSCAN. VDS.NOVI.AVP.-V.-VPRO.VIREX.AVSCAN.VI-SPY.GUARD.FINDVIRU.TNT.TNTAV. HTSCAN.NEMESIS.NOD.ITAV.VI.VIRIT.IM.WIN.TD.DEBUG.
Если одна из этих программ стартует, то вирус предпринимает ряд действий, чтобы скрыть свою копию в системной памяти: освобождает INT 21h, шифрует себя полиморфик-методом, перехватывает INT 22h и устанавливает его на вход полиморфик-расшифровщика, стирает свою незашифрованную копию и отдает управление запускаемой программе. В результате во время работы антивирусов в памяти присутствует лишь зашифрованная копия вируса, перехватывающая только INT 22h. При завершении работы программы вирус получает управление по INT 22h, расшифровывает себя и снова перехватывает INT 21h. Вирус также содержит строки:
This is "The Second NewBorn Trout" virus Programmed in the city of Milan, North Italy [C] The Tricky Trout 1995 Mutation Engine: TT-PEB (Tricky Trout Plurimorphic Encryptor Builder) version 2.01 (TPE standard)
