Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Ce ne sont pas des vers de virus furtifs cryptés résidant en mémoire dangereuse. En cours d'exécution, ils affichent les messages:

"Worm.Info.2142":

– * – INFOSYSTEM – * -version 1.04(C) 1995 par Ziff Co.Lecture des informations du système …Type d'ordinateur: IBM PC

"Worm.Info.2191":

InfoSystem version1.01Lecture des informations du système …Type d'ordinateur: IBM PC

"Worm.Info.2259":

Lecture des informations du système …Type d'ordinateur: IBM PC

puis ils vérifient le type d'ordinateur et affichent l'une des chaînes:

OriginalXTÀConvertiblePS / 2JuniorInconnu

Ensuite, le virus affiche les messages:

Vérification du contrôleur HDD …Type de contrôleur SCSI: Inconnu (Erreur14)

et appelle la routine d'infection. Lors de l'infection de l'ordinateur, le virus recherche les répertoires répertoriés dans la chaîne PATH, crée des fichiers INFO.COM et y écrit son code. Ensuite, le virus recherche les fichiers .BAT dans ces répertoires et écrit les commandes:

@si n'existe pas info.com goto noinfo@info> nul:pas d'information

au début des fichiers batch. En cours d'exécution de tels fichiers BAT exécutent le virus.

Ensuite, le virus s'installe lui-même dans la mémoire UMB, HMA ou conventionnelle, accroche INT 1Ch, 21h puis dépose son code dans les répertoires en cours sur les appels FindFirst (AH = 11h, 4Eh). Lors de l'accès aux fichiers BAT modifiés, et sur les appels FindFirst / Next, le virus appelle la routine furtive. Le virus vérifie également le nom des programmes qui sont exécutés, et si le nom est CHDDSK, WEB ou DRWEB, le virus désactive ses routines furtives.

En accrochant INT 1Ch, le virus vérifie le vecteur INT 1 (traçage) et désactive le traçage du code du virus.

Le vendredi 13, le virus change les ports vidéo VGA.

Le virus contient également les chaînes de texte internes:

COMMAND NET? .CHKDSK.WEB.DRWEB.INFO.COM ATH = *. BAT

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Worm
Plateforme	DOS
Description	Détails techniques Ce ne sont pas des vers de virus furtifs cryptés résidant en mémoire dangereuse. En cours d'exécution, ils affichent les messages: "Worm.Info.2142": – * – INFOSYSTEM – * -version 1.04(C) 1995 par Ziff Co.Lecture des informations du système …Type d'ordinateur: IBM PC "Worm.Info.2191": InfoSystem version1.01Lecture des informations du système …Type d'ordinateur: IBM PC "Worm.Info.2259": Lecture des informations du système …Type d'ordinateur: IBM PC puis ils vérifient le type d'ordinateur et affichent l'une des chaînes: OriginalXTÀConvertiblePS / 2JuniorInconnu Ensuite, le virus affiche les messages: Vérification du contrôleur HDD …Type de contrôleur SCSI: Inconnu (Erreur14) et appelle la routine d'infection. Lors de l'infection de l'ordinateur, le virus recherche les répertoires répertoriés dans la chaîne PATH, crée des fichiers INFO.COM et y écrit son code. Ensuite, le virus recherche les fichiers .BAT dans ces répertoires et écrit les commandes: @si n'existe pas info.com goto noinfo@info> nul:pas d'information au début des fichiers batch. En cours d'exécution de tels fichiers BAT exécutent le virus. Ensuite, le virus s'installe lui-même dans la mémoire UMB, HMA ou conventionnelle, accroche INT 1Ch, 21h puis dépose son code dans les répertoires en cours sur les appels FindFirst (AH = 11h, 4Eh). Lors de l'accès aux fichiers BAT modifiés, et sur les appels FindFirst / Next, le virus appelle la routine furtive. Le virus vérifie également le nom des programmes qui sont exécutés, et si le nom est CHDDSK, WEB ou DRWEB, le virus désactive ses routines furtives. En accrochant INT 1Ch, le virus vérifie le vecteur INT 1 (traçage) et désactive le traçage du code du virus. Le vendredi 13, le virus change les ports vidéo VGA. Le virus contient également les chaînes de texte internes: COMMAND NET? .CHKDSK.WEB.DRWEB.INFO.COM ATH = *. BAT
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Worm.DOS.Info

Détails techniques