 |
SRCG.Riot of violence
- 13:12 - by Shad0w
|
 |
Man lies on the corner
Covered with blood
Bloody wounds on his body
Praing to his god
People pass him by
But they say
Why should we care about him?
Hi will die today.
Riot of violence!
(c) Kreator
SRCG.Riot of violence
Резидентный полиморфный вирус, использующий Shad0WRandomCodeGenerator.
Очень опасен - 13 числа может уничтожить информацию на всех физических
дисках (правда с очень малой вероятностью). Содержит антиотладочные
приемы. Размещает резидентную копию в UMB, если это возможно. Определяет
адрес оригинального INT 21h несколькими возможными путями, в том числе
трассировкой. Использует trace antidetector. Врезает переход на себя в
середину оригинального обработ- чика INT 21h. Корректно работает в DOS
сессии под Win9X, хотя и не использует при этом некоторые из перечисленных
возможностей, что несколько упрощает его обнаружение в памяти. Содержит
приемы, позволяющие обходить антивирусные мониторы.
Вирус поражает EXE и COM файлы при их запуске (AX=4B00h INT 21).
Вирусный код может быть записан в произвольное место файла либо в конец. В
любом случае тело вируса зашифровано. Полиморфный декриптор размером 8-16K
расшифровывает второй статический декриптор, а тот - тело вируса. Вирус
корректно инфицирует оверлейные EXE файлы. Кроме того корректно
инфицируются COM файлы из DOS 7.XX, защищеные от изменений контрольной
суммой. При любом варианте заражения файл достаточно сложно восстановить
:)) Данные необходимые для восстановления файла зашифрованы с помощью
Random Decryption Algorithm. Вирус не заражает файлы созданые в текущем
месяце и распространенные антивирусы. Заражаются только файлы, находящиеся
на HDD, при наличии свободного места.
(с) Shad0W
|
||
 |
 |
 |
