Вирус "AVALANCHE (RCE-02831)"

Опасный файловый резидентный самошифрующийся вирус-"невидимка". Его автор использовал несколько распространенных и часто встречающихся вирусных "приемчиков".

При запуске инфицированной программы вирус первым получает управление и проверяет наличие своей резидентной копии в оперативной памяти. Для этого вирус инициирует вызов прерывания 21h (AX=4BF0h, DI=0000h) и ожидает отзыва DI='sh'. Если оперативная память еще не инфицирована, вирус корректно выделяет для себя блок памяти размером 0D8h параграфов (3456 байт), объявляет его "Последним" и принадлежащим DOS/BIOS, затем перехватывает прерывания 21h (сервис операционной системы) и 13h (обработка дисковых операций).

В процессе инсталляции своей резидентной копии вирус "проходит" со взведенным флагом трассировки обработчик 21h-го прерывания для определения истинного адреса DOS обработчика, который затем использует для своих внутренних вызовов. В версиях операционной системы ниже 5.00 "AVALANCHE" не активизируется.

Резидентный обработчик вируса контролирует функции 4Bh, 4Eh, 4Fh, 11h, 12h, 5700h, 42h, 3Fh и инфицирует файлы форматов COM и EXE. В процессе заражения файлов вирус использует внутренние механизмы операционной системы - "JOB FILE TABLE ENTRY" и "ADDRESS OF SYSTEM FILE TABLE". Свое присутствие в инфицированных файлах вирус пытается скрыть (компонента "невидимости").

В теле вируса содержатся текстовые строки: 'AVALANCHE/Germany '94...' и 'Metal Junkie greets Neurobasher'.

 

Вирус удаляет с диска программы, содержащие в своем имени первые 4 символа: 'F-PR' (F-PROT), 'TBAV' (ThunderBYTE AntiVirus), 'SCAN', 'MSAV' (MicroSoft AntiVirus), 'CPAV' (Central Point AntiVirus), 'TBME' (ThunderBYTE Mem), 'TBFI' (ThunderBYTE File), 'TBSC' (ThunderBYTE Scan), 'VIRS' (VirScan), 'TBDR' (ThunderBYTE Driver).

22.06.1997

По ВСЕМ вопросам, связанным с антивирусной защитой и восстановлением поврежденной информации, Вы можете связаться с авторами программы:

Пейджинг: тел. 276-95-10, 222-14-54 для абонента 20587
FidoNet: 2:450/26.20@fidonet либо 2:450/63.209@fidonet
E-mail: gr@nsys.minsk.by либо vk@nsys.minsk.by

Подозрительные файлы и дампы загрузчиков Вы можете поместить на BBS 'Bercli' в область 'VIRUS' (тел. станции 223-31-54, время работы - круглосуточно).

Версия для печатиВерсия для печати

Номер: 

26 за 1997 год

Рубрика: 

Стоп: вирус!
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!