Энциклопедия компьютерных вирусов
         

Легче показать текст вируса, чем


Резидентный безобидный BAT-вирус. Легче показать текст вируса, чем рассказать, что он делает. Этот текст довольно прост:

@ECHO OFF REM <<< code: jmp installation, int_21 handler part 1 >>> copy %0 b.com>nul b.com del b.com rem <<< code: TSR installation, int_21 handler part 2 >>>

Замечание: скобки <<< >>> означают, что здесь идут нетекстовые байты вируса. Основной отличительной чертой вируса является то, что его тело выполняется в двух различных форматах: как batch-файл, если имя файла вируса имеет расширение .BAT, и как COM-файл, если расширение .COM. При запуске вируса в BAT-формате он копирует себя в файл B.COM. Таким образом вирус создает копию зараженного BAT-файла, но с расширением COM. Затем вирус запускает этот файл и по окончании его работы удаляет его с диска. Двоичные коды вируса, выполняющиеся при запуске файла в COM-формате, закомментированы инструкцией REM и никак не влияют на работу BAT-файла. Файл B.COM выполняется как обыкновенный COM-файл. При этом текстовые строки, идущие в начале файла,

@ECHO OFF REM

интерпретируются процессором как инструкции типа

INC register DEC register OR register, immediate AND register, register

Эти инструкции никак не влияют на работу программы. После того как выполнены последние текстовые байты (инструкция REM во второй строке BAT-файла), начинает работать код вируса, отвечающий за его активизацию. Алгоритм инсталляции вируса в память довольно примитивен, он содержит всего 10 команд. Вирус перехватывает INT 21h и остается резидентным при помощи стандартного прерывания DOS INT 27h. Вирус не проверяет свое наличие в памяти и остается резидентным столько раз, сколько запускаются пораженные BAT-файлы. Вирус обрабатывает только одну функцию DOS - WriteHandle (INT 21h, AH=40H). Он проверяет начало записываемого на диск буфера на наличие строки '@echo' и, если она присутствует, записывает сначала свое тело, а затем сохраняемый буфер. Таким образом многие BAT-файлы оказываются пораженными при их создании, копировании или модификации. Поскольку в памяти может присутствовать несколько копий вируса, то все они запишут себя в поражаемый файл.


Содержание раздела