Dodgy


Очень опасный резидентный загрузочный стелс-вирус. Занимает два сектора (1024 байт). Поражает boot-сектора дискет и MBR винчестера. При заражении MBR записывает первоначальный MBR-сектор и свой второй сектор на нулевой трек/нулевую сторону винчестера, начиная с сектора 14 (обычно эти сектора не заняты программами и данными). На дискетах вирус сохраняет boot-сектор и свой код в последних секторах корневого каталога. При загрузке с зараженного диска вирус уменьшает размер свободной памяти (слово по адресу 0:0413h), копирует туда свой код, перехватывает INT 8, 13h, 40h и вызывает системный загрузчик (т.е. инициирует повторную загрузку с диска). Поскольку вирус реализует стелс-алгоритм, системный загрузчик при повторном запуске считывает с диска и выполняет не код вируса, а первоначальные boot/MBR-сектора. При инсталляции вирус также считывает в память MBR винчестера - уже установленная в память резидентная копия вируса перехватывает этот вызов и заражает MBR. При заражени вирус использует несколько приемов, направленных против антивирусной защиты, встроенной в BIOS - вирус снимает флаг проверки в CMOS и записывает в буфер клавиатуры символ 'Y'. Перехват INT 13h, 40h используется вирусом для заражения дисков, к которым идет обращение. При этом вирус также вызывает стелс-процедуру, если диски уже заражены. При помощи перехвата INT 8 вирус постоянно сканирует область памяти, куда DOS загружает свой код, и ищет там строку "PEC=" (остаток от строки "COMSPEC=", обычно присутствующей в области Environment DOS-программ). Если эта строка найдена, вирус перехватывает DOS-прерывания INT 21h, 2Fh и увеличивает (т.е. восстанавливает в прежнее значение) размер системной памяти (0:0413h). В результате TSR-копия вируса оказывается за пределами DOS. Затем вирус "отключает" свой перехватчик INT 8. INT 21h: вирус проверяет имена программ и при запуске файла RAV* вызывает свою подпрограмму уничтожения данных на диске (см. ниже). Эта подпрограмма не вызывается, если компьютер работает под Windows. В этом случае вирус вызывает ее при окончании работы Windows (вирус перехватывает этот момент при помощи INT 2Fh). INT 2Fh: вирус перехватывает запуск и окончание работы Windows. При запуске Windows вирус стирает в рабочем каталоге Windows файл SYSTEM\IOSUBSYS\HSFLOP.PDR. При окончании работы Windows вирус вызывает процедуру уничтожения данных на диске, если в процессе работы Windows был запуск программы RAV*. Через три месяца после заражения (или при запуске RAV*) вирус проявляет себя следующим образом: переводит компьютер в графический видео-режим, выводит текст "RAVage is wiping data! RP&muRphy", отключает клавиатуру и стирает сектора на винчестере.



Содержание раздела