Энциклопедия компьютерных вирусов
Win.Homer, семейство
"Резидентные" Windows-вирусы, заражают файлы формата NewEXE (NE). Написаны на C++ и имеют довольно большие размеры - от 40 до 54 килобайт. Известно 5 версий вируса, но только две версии действительно заражают файлы - остальные не делают этого по причине ошибок. При запуске зараженного файла вирус перехватывает INT 21h и остается Windows-задачей. Эта задача либо имеет свое собственное окно, либо невидима в зависимости от версии вируса. Перехват INT 21h происходит разными способами также в зависиомсти от версии вируса - в режимах real/protect mode DPMI, или Windows API hooking. Вирус заражает файлы при их запуске, при этом он записывается в их конец и модифицирует NewEXE-заголовок. Некоторые из версий вируса также перехватывают сетевые сообщения. В исходном тексте вируса присутствует комментарий, в котором сказано, что вирус перехватывает вход пользователя на удаленный ftp-сервер и посылаеет свою копию в каталог "incoming", при этом вирус использует File Transfer Protocol. Работает ли в действительности этот код - пока неясно. Мы не проводили необходимых тестов, однако факт имеет место - вирусы начинают проникать в глобальные сети. Возможно, что "Homer" является одной из первых попыток в создании новых сетевых вирусов. Исходный текст вируса содержит комментарий:
HOMER virus by Kernel Panik, Italy, april 1997
