Семейство Avatar

date image 2015-06-10
views image 275
Поделись с друзьями: 
1234567

Очень опасные вирусы, в зависимости от текущей даты стирают сектора дисков. Содержат строки:

"Avatar.Acid.670,674": [Binary Acid](c) 1994 Evil Avatar "Avatar.Acid.7361': Virus ANuBiS v.1.0 (с) 1994 'гиъб!

Realizado en Argentina [AVRL]

This is only the beginning...

"Avatar.BigBang.346": [Big Bang](c) 1993 Evil Avatar *.COM "Avatar.Positron.512": [Positron] (c) 1994 Evil Avatar

Avatar.Acid

Резидентны, перехватывают INT 21h и записываются в конец запускаемых СОМ- и ЕХЕ-файлов. По понедельникам стирают случайно выбранный сектор диска.

Avatar.BigBang.346

Нерезидентен, при запуске ищет.СОМ- и.ЕХЕ-файлы и записывается в их конец. 1 января стирает MBR.

Avatar.Dichotomy.863

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец файлов при их запуске. Корректно заражает только СОМ-файлы, при поражении ЕХЕ-файлов портит их.

Вирус делит запускаемые файлы на две категории: четную и нечетную (в зависимости от того, в какой последовательности выполняются эти файлы) и заражает файлы разных категорий различными способами. Вирус разделяет свой код на две части и записывает первую часть только в четные файлы, а вторую часть — в нечетные файлы. Четные файлы заражаются обычным способом: вирус дописывает к ним свою первую часть (296 байт) и изменяет начало файла на команду JMP Virus. К нечетным файлам вирус дописывает свою вторую часть (567 байт) без изменения заголовка файла.

При запуске четного файла вирус ищет нечетный файл (его имя сохраняется в первой части вируса при заражении), считывает свое продолжение и остается резидентно в памяти.

В некоторых случаях резидентная копия вируса заражает файлы дважды: при их заражении на гибких дисках и в том случае, если первая часть вируса при запуске не может найти вторую.

Вирус содержит строки:

[Dichotomy] (с) 1994 Evil Avatar [Dichotomy]

Avatar.KJRad

Неопасный резидентный вирус. Перехватывает INT9, 21h и записывается в конец запускаемых ЕХЕ-файлов. Используя перехват, INT9 меняет на экране буквы, вводимые с клавиатуры. Содержит текст:

Made in the USA [k-rad] by Evil Avatar

Avatar.Positron

Опасный резидентный вирус. Перехватывает INT 21h и записывается в конец СОМ-файлов при их запуске. При заражении файлов не изменяет их заголовка, а записывает команду JMP_Virus в середину файла вместо первого вызова INT 21h, если таковой присутствует в файле. Для этого пропускает DOS-функцию Execute, ждет первого вызова INT 21h, вычисляет адрес в файле, откуда идет этот вызов, и записывает по этому адресу команду JMP_Virus.

Вирус может испортить некоторые (например, упакованные) файлы, которые затем завешивают систему при запуске.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

1234567

double arrow
Сейчас читают про:
article image
Условия интерференционного максимума и минимума
article image
Понятие «неблагополучная семья», ее основные характеристики. Типология неблагополучных семей
article image
Мгновенный центр скоростей (МЦС) и его определение. Определение скоростей точек тела с помощью МЦС
article image
Личностные качества волонтеров, которые определяют эффективность волонтерской работы
article image
Три этапа Великой Отечественной войны
article image
Расчет на прочность при срезе и смятии
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Истинная сила человека не в порывах, а в нерушимом спокойствии. © Лев Толстой ==> читать все изречения...
like icon 6211
like icon 6013
Понравился сайт? Поделись им с друзьями: