Энциклопедия компьютерных вирусов
Zombie.VPI
Резидентные вирусы, записываются в конец EXE-файлов при их запуске, открытии и чтении/изменении атрибутов файла. Используют два необычных приема: кодирование при заражении файлов и запись своей TSR-копии в Shadow RAM. При запуске зараженного файла вирус проверяет порты Shadow RAM (эти порты присутствуют только на Pentium-компьютерах). Если порты доступны, вирус ищет "дыру" подходящего размера в Shadow RAM, открывает ее на запись, копирует туда свой код и закрывает Shadow RAM. Если свободного места в Shadow RAM недостаточно, вирус либо записывает себя вместо одного из стандартных фонтов, либо ищет и записывается вместо кода какого-то драйвера, если фонт или драйвер расположен в Shadow RAM. Затем вирус перехватывает INT 13h и при запуске любого EXE-файла перехватывает INT 21h. После инсталляции своей TSR-копии в Shadow RAM вирус закрывает ее на запись. При вызовах INT 13h, 21h, если вирусу необходимо произвести изменения в своих данных, он временно разрешает запись в Shadow RAM. При заражении файлов вирус достаточно забавным способом кодирует свое тело - байты кода вируса не шифруются, как это бывает с обычными шифрованными вирусами, а переводятся в последовательность байт, принимающих всего два значения - 0 и FFh. Каждый байт кода вируса записывается в виде последовательности из восьми байт - нулевые биты байта преобразуются в 0, а 1 - в FFh. В результате, имея длину менее 2K, вирус увеличивает длины EXE-файлов более чем на 15K. При чтении секторов, содержащих информацию о каталоге, вирус ищет и уничтожает в них ссылки на файлы: ADINF, AIDS, AVP, WEB, DRWEB, *.CPP, *.C, S-ICE, TD, DEBUG, WEB70801, CA.AV? Вирус также содержит текст:
Z0MBiE`1635 v1.00 (c) 1997 Z0MBiE Tnx to S.S.R. & Lerg ShadowRAM/Virtual Process Infector
Энциклопедия компьютерных вирусов
Zombie.VPI
Резидентные вирусы, записываются в конец EXE-файлов при их запуске, открытии и чтении/изменении атрибутов файла. Используют два необычных приема: кодирование при заражении файлов и запись своей TSR-копии в Shadow RAM.
При запуске зараженного файла вирус проверяет порты Shadow RAM (эти порты присутствуют только на Pentium-компьютерах). Если порты доступны, вирус ищет "дыру" подходящего размера в Shadow RAM, открывает ее на запись, копирует туда свой код и закрывает Shadow RAM. Если свободного места в Shadow RAM недостаточно, вирус либо записывает себя вместо одного из стандартных фонтов, либо ищет и записывается вместо кода какого-то драйвера, если фонт или драйвер расположен в Shadow RAM. Затем вирус перехватывает INT 13h и при запуске любого EXE-файла перехватывает INT 21h.
После инсталляции своей TSR-копии в Shadow RAM вирус закрывает ее на запись. При вызовах INT 13h, 21h, если вирусу необходимо произвести изменения в своих данных, он временно разрешает запись в Shadow RAM.
При заражении файлов вирус достаточно забавным способом кодирует свое тело - байты кода вируса не шифруются, как это бывает с обычными шифрованными вирусами, а переводятся в последовательность байт, принимающих всего два значения - 0 и FFh. Каждый байт кода вируса записывается в виде последовательности из восьми байт - нулевые биты байта преобразуются в 0, а 1 - в FFh. В результате, имея длину менее 2K, вирус увеличивает длины EXE-файлов более чем на 15K.
При чтении секторов, содержащих информацию о каталоге, вирус ищет и уничтожает в них ссылки на файлы: ADINF, AIDS, AVP, WEB, DRWEB, *.CPP, *.C, S-ICE, TD, DEBUG, WEB70801, CA.AV?
Вирус также содержит текст:
Z0MBiE`1635 v1.00 (c) 1997 Z0MBiE Tnx to S.S.R. & Lerg ShadowRAM/Virtual Process Infector
