ArjVirus

Опасный нерезидентный вирус-червь (worm). Ищет архивные файлы *.ARJ и добавляет в них свою копию. Ищет ARJ-файлы в текущем и во всех родительских каталогах.

Если архивный файл найден, вирус создает временный файл-червь с расширением.СОМ и случайно выбранным именем, например BHPL.COM, NLJJ.COM, OKPD.COM и т. д. Длина имени равна четырем байтам. Затем вирус записывает себя в этот файл, добавляет мусор (чтобы файл-червь был различной длины в разных случаях поражения архивов).

Этот файл-червь добавляется к тем файлам, которые уже упакованы в обнаруженном архиве. Вирус делает это при помощи самого архиватора ARJ: запускает копию процессора COMMAND.COM с указанием имени файла для выполнения. Строка, которая передается функции ЕХЕС, выглядит следующим образом:

c:\command.com /с arj a <arj-fite> <filename>.com

где а — параметр архиватора ARJ.EXE, при этом файл будет добавлен к уже упакованным файлам; <arj-file> — имя обнаруженного файла-архива; <filename> — имя файла-червя.

Параметр /с предписывает командному процессору COMMAND.COM выполнить указанный файл (ARJ.EXE) и отдать управление вызвавшей программе.

Затем вирус уничтожает временный файл и ищет следующий ARJ-файл. Если таковых больше нет, он возвращается в DOS.

Семейство AsmVir

Вирусы AsmVir ищут.ASM-файлы в текущем каталоге и записывают вместо них свой шестнадцатеричный дамп. Для того чтобы этот дамп мог быть потом скомпилирован, вирусы "окружают" его командами ассемблера:

;- <- идентификатор заражения

casmseg segment

assume cs:casmseg,ds:casmseg,ss:casmseg

org 100h

.radix 10

start:

db... <- дамп вируса db...

casmseg ends end start

Результатом компиляции и компоновки таких ASM-файлов являются вполне работоспособные копии вируса.

Вирусы содержат текст-копирайт:

ASMVirus by Qark/VlAD042