2015-06-10
348
Резидентные полиморфик-вирусы. Перехватывают INT 21h и записываются в конец СОМ- и ЕХЕ-файлов. Вагап.3294 заражает файлы при их запуске или закрытии. Вагап.4968 также заражает запускаемые и закрываемые файлы, но делает это еще и при вызове FCB-функции закрытия файлов.
Перехватывают INT 21h нестандартными способами. Обработчик INT 21h в вирусе Вагап.3294 содержит всего одну команду — вызов INT I (CDh Olh). Вирус также перехватывает INT 1, и управление в результате передается на обработчик INT 1 в теле вируса. Этот обработчик содержит подпрограммы заражения файлов.
Вагап.4968 трассирует INT 13h, 21h, записывает в код INT 21h в области DOS (первоначальный DOS-обработчик INT 21h) вызов INT 29h (CDh 29h), затем записывает в код обработчика INT 29h команду FARJMP_Virus. В результате в код вируса попадают вызовы INT 21h и INT 29h. Вирус проверяет адрес вызвавшей программы и передает управление либо на первоначальный обработчик INT 29h, либо на подпрограмму обработки вызовов INT 21h. Если вирус не может перехватить INT 21h таким способом, то он заражает командный процессор (COMMAND.COM), на который указывает системная строка COMSPEC=.
Если загружена MS Windows, то вирус также заражает файл, который запускается при выходе из Windows.
Вагап.4968 является "стелс"-вирусом. При открытии зараженного файла (FCB или Handle), при его загрузке как оверлея (Overlay) или отладке вирус лечит файл. Вирус также проверяет имена файлов и не заражает IBMBIO.* и IBMDOS.*.
Вагап.3294 неопасен. В зависимости от системного времени выводит текст:
Gwadera to baran!
Baran.4968 очень опасен. В зависимости от своего счетчика портит данные, записываемые на диск. Содержит строку:
Unknown destroyer v1
