2015-06-10
371
Очень опасный резидентный вирус. Перехватывает INT 10h, 13h, 16h, 21h и остается резидентно в памяти. В момент запуска файлов при вызове DOS-функции GetDiskSpace или при вызовах INT 10h (если при этом не выполняются прерывания DOS) вирус ищет.СОМ- и.ЕХЕ-файлы и записывается в их конец.
Особое внимание уделяет файлу C:\COMMAND.COM и заражает его методом, похожим на метод вируса "Peasant": записывает в начало COMMAND.СОМ 512 байт своего загрузчика, а остальную часть вируса и первоначальный код COMMAND.COM помещает в неиспользуемые секторы первого трека винчестера.
При запуске зараженного COMMAND.COM загрузчик вируса считывает код вируса из секторов винчестера, перехватывает прерывания и остается резидентно в памяти, затем восстанавливает код COMMAND.COM и возвращает ему управление. Такой способ заражения может испортить данные на диске. Плюс к этому вирус во многих случаях завешивает систему при заражении системной памяти, используя настолько хитрые способы перехвата и освобождения векторов прерываний, что часто портит ядро DOS.
В зависимости от системной даты, времени и некоторых других условий выводит сообщения на китайском языке или:
THIS F1LЈ MAY BE INFECTED WITH VIRUS TO KILL VIRUS, YOU CAN REINSTALL THIS FILE IDEARS AUTO_ANTI_VIRUS SOFTWARE GROUP AAV MARK:
AUTO ANTTV1RUS THIS FILE IS SAFE THANKS FOR USE AAV IDEARS AUTOANT)_V1RUS SOFTWARE GROUP MV MARK:
