Файловый резидентный "невидимый" вирус "Anti-Telefonica (RC-03784)"

При запуске инфицированной программы вирус проверяет, инсталлирован ли уже в оперативной памяти. Признаком инсталляции служит равный 13h результат операции XOR для байтов по адресам 0000:1BCh и 0000:1BDh (адрес прерывания 06Fh).

При инсталляции в оперативную память вирус "отрезает" от MCB блока загруженной программы 0FFh параграфов (4080 байт) и создает там новый MCB блок. В этот блок вирус копирует свое тело (3784 байта) и перехватывается INT 21h. После установки себя в память вирус инфицирует Главную Загрузочную Запись жесткого диска загрузочным вирусом "Anti-Telefonica (M2-1C)" (см. описание ниже).

Вирус инфицирует COM-файлы при запуске на выполнение (функция 4B00h) и открытии для чтения (функция 3D00h). Для отметки о заражении файла вирус использует дату создания файла (у инфицированных файлов она на 100 лет больше реальной). Вирус перехватывает INT 24h для контроля ошибок ввода-вывода. Перед инфицированием сохраняет и после инфицирования восстанавливает атрибуты файла.

Не инфицируются вирусом файлы с длинами меньше 128 или больше 60999 байт, а также файлы IBM???.COM, MA??.COM.

Вирус обрабатывает функции перемещения файлового указателя (функция 4202h) и поиска файлов по шаблону (функции 11h, 12h, 4Eh, 4Fh) таким образом, что для инфицированных файлов скрывается увеличение длины (Stealth компонента вируса).

 

Кроме запуска загрузочного вируса, деструктивных действий не содержит.

В теле вируса содержатся текстовые строки (зашифровано):

'Virus Anti - C.T.N.E. v2.10a. (c)1990 Grupo Holokausto.',

'Kampanya Anti-Telefonica. Menos tarifas y mas servicio.',

'Programmed in Barcelona (Spain). 23-8-90. - 666 -'

Сергей СЕМАШКО,
ООО "ВирусБлокАда"

ООО "ВирусБлокАда"

Борьба с компьютерными вирусами. Восстановление поврежденной информации. Лицензия №62 Государственного Центра Безопасности Информации на разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание антивирусного комплекса программ.

Голосовой телефон: (017) 2-235-235
VBA BBS: (017) 2-267-086, круглосуточно
E-mail: vba.support@usa.net
Fido: 2:450/110

Версия для печатиВерсия для печати

Номер: 

06 за 1998 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!