Опасный нерезидентный вирус-червь (worm). Ищет архивные файлы *.ARJ и добавляет в них свою копию. Ищет ARJ-файлы в текущем и во всех родительских каталогах.
Если архивный файл найден, вирус создает временный файл-червь с расширением.СОМ и случайно выбранным именем, например BHPL.COM, NLJJ.COM, OKPD.COM и т. д. Длина имени равна четырем байтам. Затем вирус записывает себя в этот файл, добавляет мусор (чтобы файл-червь был различной длины в разных случаях поражения архивов).
Этот файл-червь добавляется к тем файлам, которые уже упакованы в обнаруженном архиве. Вирус делает это при помощи самого архиватора ARJ: запускает копию процессора COMMAND.COM с указанием имени файла для выполнения. Строка, которая передается функции ЕХЕС, выглядит следующим образом:
c:\command.com /с arj a <arj-fite> <filename>.com
где а — параметр архиватора ARJ.EXE, при этом файл будет добавлен к уже упакованным файлам; <arj-file> — имя обнаруженного файла-архива; <filename> — имя файла-червя.
Параметр /с предписывает командному процессору COMMAND.COM выполнить указанный файл (ARJ.EXE) и отдать управление вызвавшей программе.
Затем вирус уничтожает временный файл и ищет следующий ARJ-файл. Если таковых больше нет, он возвращается в DOS.
Семейство AsmVir
Вирусы AsmVir ищут.ASM-файлы в текущем каталоге и записывают вместо них свой шестнадцатеричный дамп. Для того чтобы этот дамп мог быть потом скомпилирован, вирусы "окружают" его командами ассемблера:
;- <- идентификатор заражения
casmseg segment
assume cs:casmseg,ds:casmseg,ss:casmseg
org 100h
.radix 10
start:
db... <- дамп вируса db...
casmseg ends end start
Результатом компиляции и компоновки таких ASM-файлов являются вполне работоспособные копии вируса.
Вирусы содержат текст-копирайт:
ASMVirus by Qark/VlAD042