Файловый резидентный вирус "Goodbye (RCE-860)"

Порождается макровирусом "Macro.Word.NightmareJoker.MooNRaiDer.14859".

При запуске инфицированной программы вирус проверяет, находится ли он уже в памяти. Для этого вирус вызывает прерывание INT 21h со значением 051BDh в регистре AX. Если после вызова регистр AX содержит 0BD51h, то вирус уже инсталлировался в память ранее. В противном случае вирус получает адрес MCB блока загруженной программы и, если этот блок является последним в цепочке, уменьшает его размер на 61h параграфов (1552 байта). Далее вирус создает в освободившемся пространстве новый MCB блок, в который копирует свое тело (860 байт), и устанавливает вектор INT 21h на свой обработчик.

Вирус инфицирует файлы при запуске на выполнение (функция 4Bh), открытии (функция 3Dh) и работе с атрибутами файла (функция 43h).

Перед инфицированием вирус каждый раз рассчитывает CRC имени файла. При определенных значениях CRC файл не инфицируется (например, не инфицируются файлы "AVP.EXE", "SCAN.EXE", "F-PROT.EXE" ).

Инфицируются файлы формата COM. При этом тело вируса дописывается в конец. Перед инфицированием проводится контроль длины файла. Вирус не трогает COM-файлы, которые после заражения стали бы больше 64K (точнее, 64 K без 100h). Также не инфицируются файлы короче, чем 1001 байт.

Вирус также инфицирует файлы EXE формата, но из-за ошибки в вирусе они становятся неработоспособными. Другими словами, он портит их. Кроме того, даже и без этой ошибки, он бы портил файлы с оверлеями.

Вирус не перехватывает прерывание INT 24h для контроля ошибок ввода-вывода. Не обрабатывается атрибут ReadOnly, поэтому файлы с этим атрибутом не заражаются.

Никаких специальных деструктивных действий автором вируса не предусмотрено, хотя ошибок в вирусе вполне достаточно, чтобы считать его опасным.

В теле вируса содержатся текстовые строки:

"Goodbye everyone!",

"Viruses were fun, but I've got other things I'd like to do",

"Qark/VLAD"

Сергей СЕМАШКО,
ООО "ВирусБлокАда"

ООО "ВирусБлокАда"

Борьба с компьютерными вирусами. Восстановление поврежденной информации. Лицензия №62 Государственного Центра Безопасности Информации на разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание антивирусного комплекса программ.

Голосовой телефон: (017) 2-235-235
VBA BBS: (017) 2-267-086, круглосуточно
E-mail: [email protected]
Fido: 2:450/110

Версия для печатиВерсия для печати

Номер: 

03 за 1998 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!