ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Worm.DOS.Info

Classe Worm
Plataforma DOS
Descrição

Detalhes técnicos

Estes não são perigosos worms de vírus invisíveis encriptados residentes na memória. Sendo executado, eles exibem as mensagens:

"Worm.Info.2142":


– * – INFOSYSTEM – * –
versão 1.04
(C) 1995 por Ziff Co.
Lendo Informações do Sistema …
Tipo de computador: IBM PC

"Worm.Info.2191":


InfoSystem versão1.01
Lendo Informações do Sistema …
Tipo de computador: IBM PC

"Worm.Info.2259":


Lendo Informações do Sistema …
Tipo de computador: IBM PC

então eles verificam o tipo de computador e exibem uma das strings:


Original
XT
AT
Conversível
PS / 2
Júnior
Desconhecido

Então o vírus exibe as mensagens:


Verificando o controlador HDD …
Tipo de controlador SCSI: desconhecido (erro 14)

e chama a rotina de infecção. Ao infectar o computador, o vírus procura por diretórios listados na cadeia PATH, cria arquivos INFO.COM e grava seu código lá. Em seguida, o vírus procura por arquivos .BAT nesses diretórios e grava os comandos:


Não existe info.com goto noinfo
@info> nul
:Nenhuma informação

para o início dos arquivos em lote. Sendo executado, esses arquivos BAT executam o vírus.

Em seguida, o vírus se instala em memória residente em UMB, HMA ou memória convencional, conecta INT 1Ch, 21h e, em seguida, descarta seu código em diretórios atuais em chamadas FindFirst (AH = 11h, 4Eh). Ao acessar arquivos BAT modificados, e no FindFirst / Next, o vírus chama a rotina stealth. O vírus também verifica o nome dos programas que são executados e, se o nome for CHDDSK, WEB ou DRWEB, o vírus desativará suas rotinas ocultas.

Ao ligar INT 1Ch, o vírus verifica o vetor INT 1 (rastreamento) e desabilita o rastreamento do código do vírus.

Na sexta-feira 13, o vírus altera as portas de vídeo VGA.

O vírus também contém as cadeias de texto internas:


COMANDO NET? .CHKDSK.WEB.DRWEB.INFO.COM ATH = *. BAT


Link para o original