Энциклопедия компьютерных вирусов
Вирусные перехватчики
Вирус перехватывает три функции Windows. Первая является обработчиком порта 534Bh ("SK" в ASCII) и используется вирусом для детектирования своего резидентного кода: при чтении из этого порта вирус возвращает 21h ("!" ASCII) в регистре AL. Данный метод проверки резидентной копии является универсальным для DOS- и PE-программ, и вирус использует его в обоих случаях: в DOS-дропперах и в зараженных PE-программах.
Второй перехватчик является "стандартным" для резидентных Windows-вирусов - IFS API Hook. Вирус перехватывает обращения к файлам и при их открытии (включая запуск), переименовании и чтении/изменении атрибутов файлов вызывает процедуру заражения.
Третий перехватчик обрабатывает функцию "Install FileSystemApiHook", т.е. непосредственно функцию, которая используется для регистрации в системе предыдущего перехвата (IFS API). При помощи этого перехвата вирус организует "всплытие" своего обработчика IFS API: при регистрации в системе нового обработчика вирус временно удаляет свой IFS API Hook и затем снова устанавливает его. В результате вирусный перехватчих всегда является первым в списке обработчиков IFS API и получает управление непосредственно при вызове файловых функций Windows.
