Порождается макровирусом "Macro.Word.NightmareJoker.MooNRaiDer.14859".
При запуске инфицированной программы вирус проверяет, находится ли он уже в памяти. Для этого вирус вызывает прерывание INT 21h со значением 051BDh в регистре AX. Если после вызова регистр AX содержит 0BD51h, то вирус уже инсталлировался в память ранее. В противном случае вирус получает адрес MCB блока загруженной программы и, если этот блок является последним в цепочке, уменьшает его размер на 61h параграфов (1552 байта). Далее вирус создает в освободившемся пространстве новый MCB блок, в который копирует свое тело (860 байт), и устанавливает вектор INT 21h на свой обработчик.
Вирус инфицирует файлы при запуске на выполнение (функция 4Bh), открытии (функция 3Dh) и работе с атрибутами файла (функция 43h).
Перед инфицированием вирус каждый раз рассчитывает CRC имени файла. При определенных значениях CRC файл не инфицируется (например, не инфицируются файлы "AVP.EXE", "SCAN.EXE", "F-PROT.EXE" ).
Инфицируются файлы формата COM. При этом тело вируса дописывается в конец. Перед инфицированием проводится контроль длины файла. Вирус не трогает COM-файлы, которые после заражения стали бы больше 64K (точнее, 64 K без 100h). Также не инфицируются файлы короче, чем 1001 байт.
Вирус также инфицирует файлы EXE формата, но из-за ошибки в вирусе они становятся неработоспособными. Другими словами, он портит их. Кроме того, даже и без этой ошибки, он бы портил файлы с оверлеями.
Вирус не перехватывает прерывание INT 24h для контроля ошибок ввода-вывода. Не обрабатывается атрибут ReadOnly, поэтому файлы с этим атрибутом не заражаются.
Никаких специальных деструктивных действий автором вируса не предусмотрено, хотя ошибок в вирусе вполне достаточно, чтобы считать его опасным.
В теле вируса содержатся текстовые строки:
"Goodbye everyone!",
"Viruses were fun, but I've got other things I'd like to do",
"Qark/VLAD"
Сергей СЕМАШКО,
ООО "ВирусБлокАда"
ООО "ВирусБлокАда"
Борьба с компьютерными вирусами. Восстановление поврежденной информации. Лицензия №62 Государственного Центра Безопасности Информации на разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание антивирусного комплекса программ.
Голосовой телефон: (017) 2-235-235
VBA BBS: (017) 2-267-086, круглосуточно
E-mail: [email protected]
Fido: 2:450/110
Горячие темы