Опасный самошифрующийся "невидимый" файловый резидентный вирус.

При формировании резидентной копии вирус корректно создает для себя блок размером 4Bh параграфов (1200 байт), объявляет блок принадлежащим данным DOS/BIOS и переносит в "захваченный" блок свое тело. Вирус перехватывает 21h-е (DOS), 13h-е (дисковые операции) и 08h-е (таймер) прерывания. Истинный адрес 21h-го прерывания вирус переставляет в адрес 63h-го прерывания и использует его для своих внутренних вызовов. Резидентная часть вируса пытается быть невидимой в ОЗУ.

При инсталляции вирус расшифровывает часть своего кода (821 байт) - код обработчика 21h-го прерывания, текстовые строки и процедуру инфицирования.

Для передачи управления в инфицированную программу автор вируса применил один из стандартных приемов: вирус формирует вызов функции AX=0DEC1h прерывания 21h, а резидентная часть вируса, находящаяся в ОЗУ, извлекает информацию об инфицированном файле (точка входа, указатель на стек) и передает в него управление. Вниманию сетевых администраторов! Функция 0DEC1h прерывания 21h является документированной функцией Novell NetWare - 'SET BROADCAST MODE'. Ее некорректный вызов, сформированный вирусом, может сказаться на работоспособности сети.

Обработчик 21h-го прерывания контролирует функции 0DEC1h, 48h, 4Ah, 56h, 3Dh, 31h, 3Fh, 4Fh, 4Eh, 4Bh и инфицирует файлы формата EXE. При заражении файлов вирус сбрасывает атрибут "Только для чтения", сохраняет дату-время создания файла. Ошибки ввода-вывода (Int 24h) вирус не контролирует. Планировалось восстановление атрибутов файла после заражения, но из-за ошибки (описки) этого не происходит. Отличительная особенность инфицированных файлов: вирус изменяет в заголовке файла-жертвы стандартную EXE сигнатуру 'MZ' на 'ZM'. Операционная система воспринимает такие файлы по-прежнему как формат EXE.

Обработчик 13h-го прерывания. Планировалось использовать его для доступа к диску непосредственно через BIOS для "пробивания" всевозможных защит жесткого диска, но в данной версии этот участок кода выключен.

Обработчик 08h-го прерывания. Ведет счетчик тиков таймера, и при переходе значения счетчика через 0 (примерно каждый час) вирус формирует прямой межсегментный переход на перезагрузку.

В теле вируса (в зашифрованном виде) содержится текстовая строка:

'Astron.Toliman.A (C) 1996-96 Inc.'.

07.07.1997

По ВСЕМ вопросам, связанным с антивирусной защитой и восстановлением поврежденной информации, Вы можете связаться с авторами программы:

Пейджинг: тел. 276-95-10, 222-14-54 для абонента 20587
FidoNet: 2:450/26.20@fidonet либо 2:450/63.209@fidonet
E-mail: gr@nsys.minsk.by либо vk@nsys.minsk.by

Подозрительные файлы и дампы загрузчиков Вы можете поместить на BBS 'Bercli' в область 'VIRUS' (тел. станции 223-31-54, время работы - круглосуточно).