Вирус проявляется несколькими способами. Во-первых, при вызовах INT 21h проверяет дополнительные функции: 1) FFh, FLU-SHOT (антивирусный монитор), вирусы "Jerusalem.Sunday", "Tumen", "Hero" - installation check 2) ABCDh, вирус "PME.Burglar" - installation check 3) 4B53h, вирусы "Horse" и "OneHalf" - installation check 4) CCCCh, ??? 5) DEADh, несколько различных вирусов, installation check Если обнаружен любой из этих вызовов, вирус пищит спикером компьютера и выводит сообщение:
!!! ALARM WARNING DANGER APPROACHING !!! Hacker-fucker TSR shit or Any Virus Detected !!! !!! ALARM WARNING DANGER APPROACHING !!! Hacker-fucker TSR shit or Any Virus Detected !!! Anyone who wants to fuck Revenge is Naivnij Man With best wishes & thanks to DialogScn Emulation engine will have problems with this ZHOM In future versions we will add : 1. Protected Mode Decryptor [VMME] 2. Adinf table Hacker-cracker 3. Destroy Files/Disks/CMOS/Printer/CDROM 4. Disk encryption and other BUGs,GLUKs & SHITs ! Dis is only BEGIN... Win95 & her lamers must die! Searching... SEEK & DESTROY There can be only one ...
При заражении файлов в зависимости от своего счетчика вирус выводит сообщение, ждет ESC, стирает случайный сектор диска C: и завешивает компьютер. Сообщение выглядит так:
T H I S I S
#@@ @@@@@ #@@ #@@@####@@ #@@@@@ #@@ #@@ #@@@@@ #@@ @@@@ @@@@ @@ #@@@@@ #@@@ #@@#@@###@@ #@@ #@@ #@@###@@ #@@@###@@#@@###@@@ #@@###@@ #@@@ #@@ #@@ #@@ #@ #@@ #@@ #@@ #@@ #@@#@@ #@@ #@@ #@@ #@@@@@@@ #@@@@@@@ #@@ #@@ #@@@@@@@ #@@ #@@ #@@@@@@@#@@@@@@@ #@@@ #@@ #@@@### #@@ #@ #@@@### #@@ #@@ ##@@@@@#@@@### #@@ #@@ #@@ @ #@@#@ #@@ @ #@@ #@@ ####@ #@@ @ #@@ #@@ #@@@@@ #@@ #@@@@@ #@@ #@@ @ #@@ #@@@@@ #@@@ #@@ #### ## #### ## ## @@ #@@ #### #@@ #@@ #@@@@@@ ### #@@ ##### #@@
O F S T A I N L E S S S T E E L R A T
При трассировке кода INT 21h вирус портит поле контрольной суммы в CMOS, завешивает систему и выводит текст:
И долго он INT`ы трассировал...
Теперь я грустный терминал !
Проверяет имена файлов и не заражает:
DR*.* (DRWEB) AI*.* (AIDSTEST) AD*.* (ADINF) CO*.* (COMMAND.COM) HI*.* (HIEW) AV*.* (AVP) WI*.* (WIN) KE*.* (KEY* ?) US*.* ? GD*.* ?
При запуске файлов "?ID*.*" (AIDSTEST) завешивает компьютер и выводит:
А не пора ли г-ну Лозинскому на пенсию !
При DOS-вызовах FindFirst/Next уничтожает файлы с расширениями:
PAR PIF ICO WEB %%% PAS BAS AVB FRQ
ssr18xxx.com |