Энциклопедия компьютерных вирусов
Whale, семейство
Резидентные опасные зашифрованные стелс
-вирусы. Перехватывает INT 9, 21h и записывается в конец COM-, EXE- и OVL-файлов при их запуске или закрытии. В вирусах реализован "стелс"-механизм, для этого они перехватывают и обрабатывают 16 DOS-функций работы с файлами. Создают файл C:\FISH-#9.TBL, в который записывают MBR винчестера и текст: FISH VIRUS #9 A Whale is no Fish! Mind her Mutant Fish and the hidden Fish Eggs for they are damaging. The sixth Fish mutates only if Whale is in her Cave С 19-го февраля по 20 марта завешивают систему и выводят на экран строку: THE WHALE IN SEARCH OF THE 8 FISH I AM '~knzyvo}' IN HAMBURG Вирусы также содержат строки:
THE WHALE 5HS5IF 5IF5HS
Анализ вируса "Whale" является очень трудоемким занятием, так как его 9Кб(!) кодов буквально нашпигованы программными "штучками", затрудняющими трассировку, дизассемблирование и анализ вируса. Для того чтобы получить его листинг, приходится разобраться с десятком специальных способов программирования (динамическое рас/зашифрование, "пустышки", использование конвейера, несколько вложенных шифровок кода и т.д.). При заражении к файлу дописывается зашифрованное тело вируса и расшифровщик, который выбирается из 30 вариантов. Т.е. при поиске вируса в файле необходимо использовать 30 масок.
