Файловый резидентный вирус 'Dead.AIWEDR (RE-852)'

Неопасный компьютерный вирус.

Инсталляция в оперативную память. Вирус контролирует присутствие своей резидентной копии вызовом функции AX=0DEADh прерывания 21h. Если оперативная память еще не инфицирована, вирус формирует для себя блок размером 3Dh параграфов (976 байт), переносит туда свое тело и перехватывает прерывание 21h (сервис DOS).

Вниманию системных администраторов! Функция 0DEADh является документированной функцией Novell NetWare 4.0 "Set Broadcast Mode", поэтому возможна некорректная работа программного обеспечения в сети Novell NetWare.

Резидентный обработчик вируса контролирует функции 4Bh, 3Ch, 3Dh, 3Eh. В обработчике присутствуют элементы маскировки и противодействия отладке:

- контроль функций происходит не явно, а с помощью специально сформированной таблицы;

 

- процедура инфицирования файлов зашифрована (маскировка) и расшифровывается при каждом заражении файла. Причем, дешифратор использует первый байт обработчика Int 01h (анти-отладка).

Вирус инфицирует файлы формата EXE при запуске на выполнение и закрытии файлов. В процессе заражения вирус напрямую (недокументированно) использует данные из Job File Table Entry и System File Table операционной системы. Признак заражения файлов - в поле "Контрольная сумма" файла находится слово DEAD. Файлы, имена которых начинаются на 'AI' (AidsTest.EXE), 'WE' (Web.EXE) и 'DR' (DrWeb.EXE), вирус не "трогает".

Проявление вируса. При установке своей резидентной копии в оперативную память в промежутки времени с 1:00 до 1:59 и с 8:00 до 8:59 вирус включает генерацию непрерывного, резкого и неприятного звука через внутренний динамик.

10.03.1997

По ВСЕМ вопросам, связанным с антивирусной защитой и восстановлением поврежденной информации, Вы можете связаться с авторами программы:

Пейджинг: тел. 276-95-10, 222-14-54 для абонента 20587
FidoNet: 2:450/26.20@fidonet либо 2:450/63.209@fidonet
E-mail: gr@nsys.minsk.by либо vk@nsys.minsk.by

Подозрительные файлы и дампы загрузчиков Вы можете поместить на BBS 'Bercli' в область 'VIRUS' (тел. станции 223-31-54, время работы - круглосуточно).

Версия для печатиВерсия для печати

Номер: 

24 за 1997 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!