![]() |
![]() |
![]() |
Man lies on the corner Covered with blood Bloody wounds on his body Praing to his god People pass him by But they say Why should we care about him? Hi will die today. Riot of violence! (c) Kreator SRCG.Riot of violence Резидентный полиморфный вирус, использующий Shad0WRandomCodeGenerator. Очень опасен - 13 числа может уничтожить информацию на всех физических дисках (правда с очень малой вероятностью). Содержит антиотладочные приемы. Размещает резидентную копию в UMB, если это возможно. Определяет адрес оригинального INT 21h несколькими возможными путями, в том числе трассировкой. Использует trace antidetector. Врезает переход на себя в середину оригинального обработ- чика INT 21h. Корректно работает в DOS сессии под Win9X, хотя и не использует при этом некоторые из перечисленных возможностей, что несколько упрощает его обнаружение в памяти. Содержит приемы, позволяющие обходить антивирусные мониторы. Вирус поражает EXE и COM файлы при их запуске (AX=4B00h INT 21). Вирусный код может быть записан в произвольное место файла либо в конец. В любом случае тело вируса зашифровано. Полиморфный декриптор размером 8-16K расшифровывает второй статический декриптор, а тот - тело вируса. Вирус корректно инфицирует оверлейные EXE файлы. Кроме того корректно инфицируются COM файлы из DOS 7.XX, защищеные от изменений контрольной суммой. При любом варианте заражения файл достаточно сложно восстановить :)) Данные необходимые для восстановления файла зашифрованы с помощью Random Decryption Algorithm. Вирус не заражает файлы созданые в текущем месяце и распространенные антивирусы. Заражаются только файлы, находящиеся на HDD, при наличии свободного места. (с) Shad0W |
||
![]() |
![]() |
![]() |