Опасные резидентные вирусы. Перехватывают INT 21h и заражают запускаемые файлы. При создании своей резидентной копии используют часть схемы вируса "Jerusalem"
Aprillst.COM
Записываются в начало.СОМ-файлов (кроме COMMAND.COM), запускаемых на выполнение. Опасны, так как не проверяют длину файлов. При заражении:
— создают файл ТМР$$ТМР.СОМ;
— записывают в него свою копию;
— дописывают в него заражаемый файл;
— уничтожают заражаемый файл;
— переименовывают ТМР$$ТМР.СОМ в имя заражаемого файла. April Ist.COM.a проявляется с 1 апреля 1988 г. при заражении файлов. Выводит на экран:
APRIL 1 ST НА НА НА YOU HAVE A VIRUS и завешивает систему. В последующие дни сообщает:
YOU HAVE A VIRUS!!
5 июля April lst.COM.b2 выводит:
ENGUSH SUCKERS DIE IN BUENOS AIRES!
Вирусы семейства содержат строки:
COMMAND.COM ТМР$$ТМР.СОМ
"Aphl1st.COM.a":sURR/1.01 "Aprillst.COM.b": Suriv 4.02 "April 1st.COM.b2": cOc«!sUcKrl MADE IN ARGENT1NA91
ApriHst.EXE
Поражает.ЕХЕ-файлы. Опасен, не вполне корректно работает с длиной файла. При заражении внедряется в середину файла между заголовком (EXE header) и загружаемым модулем, при этом вирус:
|
|
- создает файл ТМР$$ТМР.ЕХЕ;
— считывает из заражаемого файла первые 1ВЬ байт заголовка, модифицирует в них байты, соответствующие длине модуля, стартовым значениям CS, IP, SS, SP, контрольной сумме файла (устанавливается значение 1984h); затем записывает модифицированный заголовок в файл ТМР$$ТМР.ЕХЕ;
— копирует из заражаемого файла в ТМР$$ТМР.ЕХЕ таблицу настройки адресов (ТНА), модифицируя ее описанным ниже способом;
— дописывает к файлу ТМР$$ТМР.ЕХЕ копию вируса и загружаемый модуль инфицируемого файла;
— уничтожает заражаемый файл и переименовывает ТМР$$ТМР.ЕХЕ в имя заражаемого файла.
Поскольку загружаемый модуль файла при заражении смещается на расстояние, равное длине вируса, то вирусу приходится производить соответствующие изменения в ТНА: у каждого элемента ТНА содержимое байтов, соответствующих смещению сегмента, увеличивается на значение, равное длине вируса в параграфах (см. рис. 4.2).
Рис. 4.2