Энциклопедия компьютерных вирусов
Winsurf
Опасный резидентный вирус. Поражает NewEXE-файлы, при этом корректирует NewEXE-таблицы и записывается в конец файла. При запуске зараженного файла вирус проверяет наличие DPMI функцией INT 2Fh, AX=1686h и возвращает управление программе-носителю, если он был запущен не в защищенном режиме, либо если отсутствует DPMI. В противном случае вирус определяет наличие своей резидентной копии функцией INT 21h, AX=1894h. Если копия вируса уже находится резидентно в памяти, то она возвращает CX=1234h, и вирус отдает управление программе-носителю. Если копии нет, вирус сканирует область Environment, ищет строку "windir=", читает файл SYSTEM.INI из каталога, на который указывает "windir=", ищет в этом файле строку "shell=" и заражает соответствующий файл. Затем он отдает управление программе-носителю. Остается резидентно в памяти только при запуске из файла, который был указан строкой "shell=". Обычно таким файлом является один из вариантов Programm Manager (PROGMAN.EXE, DASH.EXE, DASH2.EXE), который во время работы Windows находится в памяти постоянно, и вирусу соответственно нет необходимости применять особые приемы для того, чтобы остаться резидентным. Перехватывает INT 21h (используя DPMI-вызовы) и затем поражает NewEXE-файлы при их выполнении или загрузке в память (INT 21h, AH=4Bh). Содержит строки, используемые при заражении Program Manager:
hell=indir=system.ini
Вирус содержит ошибки и в некоторых случаях завешивает систему на тестовом компьютере после заражения очередного файла.
