Семейство April 1st (SURIV)

date image 2015-06-10
views image 227
Поделись с друзьями: 
25262728293031

Опасные резидентные вирусы. Перехватывают INT 21h и заражают запускаемые файлы. При создании своей резидентной копии используют часть схемы вируса "Jerusalem"

Aprillst.COM

Записываются в начало.СОМ-файлов (кроме COMMAND.COM), запускаемых на выполнение. Опасны, так как не проверяют длину файлов. При заражении:

— создают файл ТМР$$ТМР.СОМ;

— записывают в него свою копию;

— дописывают в него заражаемый файл;

— уничтожают заражаемый файл;

— переименовывают ТМР$$ТМР.СОМ в имя заражаемого файла. April Ist.COM.a проявляется с 1 апреля 1988 г. при заражении файлов. Выводит на экран:

APRIL 1 ST НА НА НА YOU HAVE A VIRUS и завешивает систему. В последующие дни сообщает:

YOU HAVE A VIRUS!!

5 июля April lst.COM.b2 выводит:

ENGUSH SUCKERS DIE IN BUENOS AIRES!

Вирусы семейства содержат строки:

COMMAND.COM ТМР$$ТМР.СОМ

"Aphl1st.COM.a":sURR/1.01 "Aprillst.COM.b": Suriv 4.02 "April 1st.COM.b2": cOc«!sUcKrl MADE IN ARGENT1NA91

ApriHst.EXE

Поражает.ЕХЕ-файлы. Опасен, не вполне корректно работает с длиной файла. При заражении внедряется в середину файла между заголовком (EXE header) и загружаемым модулем, при этом вирус:

- создает файл ТМР$$ТМР.ЕХЕ;

— считывает из заражаемого файла первые 1ВЬ байт заголовка, модифицирует в них байты, соответствующие длине модуля, стартовым значениям CS, IP, SS, SP, контрольной сумме файла (устанавливается значение 1984h); затем записывает модифицированный заголовок в файл ТМР$$ТМР.ЕХЕ;

— копирует из заражаемого файла в ТМР$$ТМР.ЕХЕ таблицу настройки адресов (ТНА), модифицируя ее описанным ниже способом;

— дописывает к файлу ТМР$$ТМР.ЕХЕ копию вируса и загружаемый модуль инфицируемого файла;

— уничтожает заражаемый файл и переименовывает ТМР$$ТМР.ЕХЕ в имя заражаемого файла.

Поскольку загружаемый модуль файла при заражении смещается на расстояние, равное длине вируса, то вирусу приходится производить соответствующие изменения в ТНА: у каждого элемента ТНА содержимое байтов, соответствующих смещению сегмента, увеличивается на значение, равное длине вируса в параграфах (см. рис. 4.2).

Рис. 4.2

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

25262728293031

double arrow
Сейчас читают про:
article image
Объяснительно-иллюстративный метод обучения
article image
Элементы поперечного профиля дороги
article image
II этап сестринского процесса: сестринская диагностика
article image
ПРИМЕРЫ ИСПОЛЬЗОВАНИЯ СЕСТРИНСКОГО ПРОЦЕССА В ДЕЯТЕЛЬНОСТИ МЕДСЕСТРЫ
article image
Техника наложения бинтовых повязок
article image
Модели отношения врач – пациент
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Не печалься о том, что никто не знает тебя, а стремись быть тем, кого могут знать. © Конфуций ==> читать все изречения...
like icon 7479
like icon 7270
Понравился сайт? Поделись им с друзьями: