Очень опасный неполиморфный вирус семейства Nutcracker. Пока известно два штамма, названные соответственно Nutcracker.AB7.a и Nutcracker.AB7.b.

Загрузочная компонента. Вирус инфицирует Главную Загрузочную Запись (MBR) жесткого диска и загрузочные сектора гибких дисков. Свой хвост размером 4 сектора вирус хранит на жестком диске на последнем цилиндре, а на дискетах - на 81-ой (41-ой) дорожке, которую сам нестандартно форматирует.

Файловая компонента. Вирус инфицирует файлы формата EXE (размером до 64063 байт) при их создании (например, при копировании). Инфицируемые файлы вирус приводит к формату COM, формируя в начале файла команду JMP на свое тело и в дальнейшем самостоятельно настраивая адреса таблицы перемещаемых элементов. Хотя размер вируса 1985 байт, длина всех инфицированных файлов искусственно увеличивается на 2000 байт.

Резидентная копия вируса. При загрузке компьютера с инфицированного диска вирус оставляет свою копию резидентно в памяти (по возможности стараясь разместить ее в области Upper Memory Block) и перехватывает прерывания 09h, 13h, 15h, 21h, 2Fh, 40h.

Визуальное проявление и деструктивные действия.

AB7.a. При загрузке системы компьютера по 12-м числам каждого нечетного месяца на экран выдается сообщение "I'm Nutcracker(AB7)!", и вирус ждет нажатия клавиши, после чего загрузка продолжается нормальным образом;

AB7.b. При загрузке системы 12-го января каждого года (вероятно, для вирусописателя Lord Nutcracker - это особенный день) вирус форматирует диск, с которого производилась загрузка, выдает на экран сообщение "Nutcracker(AB7)!", разрушает содержимое CMOS и подвешивает компьютер.

Видимо, алгоритм этого вируса Lord Nutcracker разрабатывал для того, чтобы показать возможность обмана ревизоров диска, в частности, ревизора ADinf. Для этого применяются следующие приемы. При вызове прикладной программой (ревизором) функции AH=13h INT 2Fh (получить адрес дискового драйвера) вирус самостоятельно удаляет себя из Главной Загрузочной Записи (MBR). Все дальнейшие проверки ни к чему не приведут - вируса действительно уже нет. При попытке пользователя перезагрузить компьютер (при нажатии на Ctrl-Alt-Del) вирус проверяет наличие своего кода в MBR и, в случае необходимости, снова перезаражает его.

17.06.1997

По ВСЕМ вопросам, связанным с антивирусной защитой и восстановлением поврежденной информации, Вы можете связаться с авторами программы:

Пейджинг: тел. 276-95-10, 222-14-54 для абонента 20587
FidoNet: 2:450/26.20@fidonet либо 2:450/63.209@fidonet
E-mail: gr@nsys.minsk.by либо vk@nsys.minsk.by

Подозрительные файлы и дампы загрузчиков Вы можете поместить на BBS 'Bercli' в область 'VIRUS' (тел. станции 223-31-54, время работы - круглосуточно).