Энциклопедия компьютерных вирусов
Упакован утилитой PKLITE. После инсталляции
Опасный резидентный "стелс"-вирус. Упакован утилитой PKLITE. После инсталляции в память считывает из стартовавшего файла свое упакованное тело, которое хранит в памяти и использует затем при заражении файлов. Перехватывает INT 21h, 22h, 23h, 24h и записывается в начало .COM-файлов при их создании (т.е. при копировании файлов): перехватывает DOS-функцию Create, создает файл, записывает в него тело вируса и передает управление DOS, которая, в свою очередь, дописывает к вирусу тело копируемого файла. Как следствие, вирус обходит резидентные антивирусные мониторы и CRC-ревизоры диска. Вирусу также нет необходимости анализировать INT 24h, восстанавливать время и атрибуты файла. При обращении к файлу вирус реализует "стелс"-алгоритм: перехватывает функцию DOS Lseek (AH=42h) и корректирует указатель чтения/записи таким образом, что файл "выглядит" незараженным. Обрабатывает функции FindFirst/Next ASCII и корректирует выдаваемые значения длин зараженных файлов. Не обрабатывает соответствующие функции FCB, что может стать причиной некорректной работы некоторых утилит. При создании резидентной копии использует легальный метод - INT 27h. В свой PSP записывает, что блок памяти принадлежит программе COMMAND.COM, благодаря чему маскируется на карте памяти. Содержит текст:
Et tu vulneratus es sicut et nos, nostri similis effectus es...
