Файловый резидентный вирус 'BiL (RE-1090)'

Установка в оперативную память. Вирус, получив управление при запуске инфицированной программы на выполнение, проверяет содержимое байта в таблице векторов прерываний по адресу 0000:0180h (адрес прерывания 60h). Если байт НЕ содержит значение 1Ah, вирус инсталлируется в ОЗУ - проходит цепочку Memory Control Block, отыскивает блок с признаком "Последний", уменьшает его размер на 46h параграфов (1120 байт), переносит в "захваченный" участок свое тело размером 1075 байт и перехватывает 21h-е прерывание.

Резидентный обработчик вируса контролирует функцию 4B00h ("Запуск на выполнение") и инфицирует файлы формата EXE. Заражение файлов стандартное ("в хвост") и грешит недоработками (нет контроля ошибок ввода-вывода и пр.). Признак того, что файл уже инфицирован - последнее слово (word) содержит значение 1ACBh.

Проявление вируса. В КАЖДОМ инфицированном файле вирус ведет счетчик запусков на выполнение. Когда счетчик достигает значения 1Ah (26), вирус проводит "опрос" пользователя: выводит на весь экран изображение бело-красно-белого флага, а в центре выводит вопрос: "Жыве Беларусь?". Если ответить "жыве", вирус продолжит выполнение вызванной пользователем программы. Если ответить иначе, вирус переключает экран в графический режим и выводит на весь экран "пылающие огнем" буквы NIRVANA. Прервать "картинку" с клавиатуры невозможно. Внимание: начиная с момента, когда счетчик достигает максимального значения (26), каждый запуск такого файла будет выполняться с "вопросом" вируса и требованием "ответа" от пользователя.

Вирус содержит текстовую строку 'BiL 1997'.

Материал подготовлен ООО"ВирусБлокАда"

ООО "ВирусБлокАда"

Борьба с компьютерными вирусами. Восстановление поврежденной информации. Лицензия №62 Государственного Центра Безопасности Информации на разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание антивирусного комплекса программ.

Голосовой телефон: (017) 2-235-235
VBA BBS: (017) 2-267-086, круглосуточно
E-mail: vba.support@usa.net
Fido: 2:450/110

Версия для печатиВерсия для печати

Номер: 

02 за 1998 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!