Koh


Резидентный загрузочный вирус. Перехватывает INT 9 (клавиатура) и INT 13h. При загрузке с зараженного флоппи заражает винчестер, предварительно спросив разрешение у пользователя:

KOH-Encrypt your HARD DISK now (please backup first)?

и записывается в MBR винчестера, если ответ 'Y', в противном случае передает управление программе нормальной загрузки. При заражении винчестера шифрует его сектора, для чего спрашивает у пользователя пароли шифровки:

Now, enter 2 passwords, 1 for HD, 1 for FD. FD PW can be changed anytime with Ctrl/Alt-K, C/A-O stops FD infect, C/A-H uninstalls on HD. Enter HD PW at power up. WRITE THIS DOWN!

CASUAL encryption=fast but breakable--keeps out snoops. STRONG encryption=good but slow--keeps out all. Use disk cache. Do you want STRONG encryption?

При загрузке с зараженного винчестера вирус спрашивает пароли и продолжает загрузку только в том случае, если пароли введены правильно. Заражает/шифрует также и флоппи-диски. Зашифрованные вирусом диски можно расшифровать и даже удалить вирус с диска, используя его же (вируса) функции. Вирус перехватывает прерывание клавиатуры и расшифровывает/дезинфицирует диски при нажатии Alt-Ctrl-A,O,H. Вирус также содержит/выводит и другие строки:

Initial load failed... aborting. Load successful. A: now infected with KOH.

Sure you want to uninstall?

Should change be permanent?

Enter FLOPPY PW now.

Now enter HD PW.

Enter Password: Verify Password:

Verify failed!

KOHv1.00



Содержание раздела