SpiceGirl, семейство
Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в начало COM-файлов при обращениях к ним (открытие, запуск и т.д.). Не заражают COMMAND.COM. Начиная с 1619-байтовой версии - зашифрованы. Начиная с 2123-байтовой версии используют "стелс"-алгоритм: при открытии зараженного файла создают на диске временный файл, куда записывают "вылеченную" копию файла, и возвращают "handle" этой копии. При закрытии файла уничтожают эту копию. Вирусы используют новый и довольно необычный прием борьбы с антивирусными программами: зараженные файлы не имеют "точки входа" (startup-адреса). Точнее, в зараженных файлах адрес точки входа находится за пределами файла, однако DOS загружает и выполняет такие файлы без особых проблем. Для реализации этого метода вирусы используют специальным образом подобранные поля EXE-заголовка. Вирус имеет формат EXE - содержит EXE-заголовок, таблицу настроек адресов и т.д. (заражает он COM-файлы, т.е. изменяет формат файла на EXE). Поля в EXE-заголовке вируса подобраны таким образом, что при загрузке файла управление передается на Program's Segment Prefix (PSP) файла, а точка входа указывает на команду RET FAR в PSP (эта команда является следующей после стандартного кода вызова INT 21h в PSP). В результате при запуске зараженного файла первой выполненной командой будет команда RET FAR, т.е. управление будет передано по адресу, находящемуся в стеке. Естественно, что стек вируса подобран так, что управление получает код вируса.
+------------+ PSP Передача управления 0000 |CD 20 | .... | | | 0050 |CD 21 | | 0052 |CB / RET FAR| Точка входа, DOS передает <-----+ .... | | управление на этот адрес -----+ | 0100 +------------+ Код вируса (файл) | | | | |------------| | |Стек | Данные стека указывают ---->| | | на код вируса | |------------| | | | Код вируса (инсталлятор) <-----+ | . . . |
Вирусы содержат строки:
What? 'Error: invalid program'? Me? Fprot, are you crazy? :) And you, Avp, 'EXE file but COM extension'. What a deep scan. ;) Spice_Girls virus causes problems to your scan engine eh? :)
