полиморфичный вирус. Перехватывает INT 21h
Неопасный резидентный зашифрованный полу- полиморфичный вирус. Перехватывает INT 21h и записывается в конец запускаемых .COM- и EXE-файлов. При инсталляции в память вирус также заражает файл C:\WINDOWS\WIN.COM. Не заражает несколько антивирусов и COMMAND.COM в соответствии со строкой:
TBVIAVNAVSFIF-FVIVDRSCGUCO
два байта на имя - TBAV, VI*, AVP, NAV, ... Вирус также отключает свой стелс при вызове DOS-функций FindFirst/Next ("уменьшение" длины зараженных файлов), если запущен архиватор или BACKUP. Соответствующая строка имен выглядит следующим образом:
PKARRALHBA
Вирус использует антиотладочные приемы в коде своего расшифровщика. Этот расшифровщик является полу-полиморфичным - он состоит из 15 блоков, которые в зависимости от случайного счетчика выбираются из более чем 100 вариантов (12 вариантов первого блока, 10 вариантов второго и т.д.). Случайный счетчик вируса инициализируется значением даты текущего дня, поэтому при заражении файлов в один и тот же день вирус записывает в них один и тот же код расшифровщика. Следовательно, полиморфик-генератор вируса способен "выдать" не более чем 366 различных вариантов кода расшифровщика. При запуске вирус в зависимости от системного времени проявляется видео-эффектом (если текущее время удовлетворяет условиям: час - до 16, секунды - ровно 30). Вирус при этом выводит одно из сообщений:
ELVIRA ! Black and White Girl from Paris You make me feel alive.
ELVIRA ! Pars. Reviens. Respire. Puis repars. J'aime ton mouvement.
ELVIRA ! Bruja con ojos verdes Eres un grito de vida, un canto de libertad.
Вирус также содержит строку:
(c) Spanska 97
Демонстрации вирусных эффектов:
|
spanska2.com |
