Энциклопедия компьютерных вирусов

         

Заражение системной памяти


Резидентная копия вируса работает как часть ядра Windows на уровне VxD-драйверов (Ring0). DOS-программы и приложения Windows не в состоянии стандартными методами получить доступ к ядру Windows, поэтому вирус для инсталляции своего кода как VxD-драйвер предпринимает ряд нетривиальных приемов.

При запуске COM-дроппера в DOS-окне Windows вирус DMPI-вызовами получает доступ к таблице распределения памяти защищенного режима (Local Description Table), правит ее и переключает свой 16-битный код в 32-битный защищенный режим. Вирус после этого работает как часть ядра Windows и получает доступ к VxD-функциям, которыми и пользуется для последующей регистрации своего кода в системе.

При запуске зараженных PE-файлов вирус также обращается к таблице распределения памяти, модифицирует ее и переключается с уровня приложений Windows (Ring3) на уровень ядра (Ring0). В этот момент начинает работать заершающая часть инсталлятора вируса, которая является общей для вирусного кода в COM- и PE-файлах. Эта процедура выделяет блок системной памяти, копирует туда вирусный код, перехватывает необходимые функции Windows и возвращает управление DOS (в случае COM-дроппера) или восстанавливает код прерванной подпрограммы PE-файла и возвращает ей управление.



Содержание раздела