Worm.Info, семейство

Неопасные резидентные зашифрованные стелс вирусы-черви. Џри запуске выводЯт сообщениЯ:

"Worm.Info.2142":



-*- INFOSYSTEM -*- version 1.04 (C) 1995 by Ziff Co. Reading System Information... Computer type: IBM PC



"Worm.Info.2191":



InfoSystem version1.01 Reading System Information... Computer type: IBM PC



"Worm.Info.2259":



Reading System Information... Computer type: IBM PC



‡атем вирусы действительно проверЯют тип компьютера и добавлЯют одну из строк:


Original XT AT Convertible PS/2 Junior Unknown



Џосле этого вирус выводит текст:


Checking HDD controller... SCSI controller type: Unknown (Error14)



и вызывает процедуру заражениЯ компьютера. Џри заражении вирус ищет каталоги, отмеченные в строке PATH, создает там файлы с именем INFO.COM и записывает свою копию в эти файлы. ‡атем вирус ищет BAT-файлы и записывает в их начало команды:


@if not exist info.com goto noinfo @info>nul :noinfo



Џри запуске такие BAT-файлы выполнЯют файл INFO.COM (т.е. вирус).

‡атем вирус копирует свой код в UMB, HMA или обычную памЯть, перехватывает INT 1Ch, 21h и заражает текущие каталоги при вызове DOS-функций FindFirst (AH=11h,4Eh). Џри обращении к измененным BAT-файлам и при вызовах FindFirst/Next вирус вызывает "стелс"-процедуру. ЏроверЯет имена запускаемых файлов и при запуске CHDDSK, WEB или DRWEB отключает часть своих "стелс"-функций.

€спользуЯ вызовы INT 1Ch, вирус постоЯнно проверЯет наличие трассировки (INT 1Ch) и блокирует ее.

Џо пЯтницам, приходЯщимсЯ на 13-е число, вирус как-то менЯет содержимое VGA-портов.

‘одержит также строки:

COMMAND NET?.CHKDSK.WEB.DRWEB.INFO.COM ATH=*.BAT






MKWorm.715

Ќеопасный нерезидентный вирус-червь. Џри запуске ищет каталоги, которые не содержат .COM-файлов, и создает в них .COM-файлы со случайно выбранным именем. ‚ эти файлы вирус записывает свою копию. ‚ зависимости от системного таймера перехватывает INT 1Ch, остаетсЯ резидентным и проЯвлЯет себЯ видеоэффектом. ‘одержит также строки:

MK Worm / Trident




„емонстрации вирусных эффектов:

MKWORM.COM