CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Worm.DOS.Info

Classe Worm
Plateforme DOS
Description

Détails techniques

Ce ne sont pas des vers de virus furtifs cryptés résidant en mémoire dangereuse. En cours d'exécution, ils affichent les messages:

"Worm.Info.2142":


– * – INFOSYSTEM – * –
version 1.04
(C) 1995 par Ziff Co.
Lecture des informations du système …
Type d'ordinateur: IBM PC

"Worm.Info.2191":


InfoSystem version1.01
Lecture des informations du système …
Type d'ordinateur: IBM PC

"Worm.Info.2259":


Lecture des informations du système …
Type d'ordinateur: IBM PC

puis ils vérifient le type d'ordinateur et affichent l'une des chaînes:


Original
XT
À
Convertible
PS / 2
Junior
Inconnu

Ensuite, le virus affiche les messages:


Vérification du contrôleur HDD …
Type de contrôleur SCSI: Inconnu (Erreur14)

et appelle la routine d'infection. Lors de l'infection de l'ordinateur, le virus recherche les répertoires répertoriés dans la chaîne PATH, crée des fichiers INFO.COM et y écrit son code. Ensuite, le virus recherche les fichiers .BAT dans ces répertoires et écrit les commandes:


@si n'existe pas info.com goto noinfo
@info> nul
:pas d'information

au début des fichiers batch. En cours d'exécution de tels fichiers BAT exécutent le virus.

Ensuite, le virus s'installe lui-même dans la mémoire UMB, HMA ou conventionnelle, accroche INT 1Ch, 21h puis dépose son code dans les répertoires en cours sur les appels FindFirst (AH = 11h, 4Eh). Lors de l'accès aux fichiers BAT modifiés, et sur les appels FindFirst / Next, le virus appelle la routine furtive. Le virus vérifie également le nom des programmes qui sont exécutés, et si le nom est CHDDSK, WEB ou DRWEB, le virus désactive ses routines furtives.

En accrochant INT 1Ch, le virus vérifie le vecteur INT 1 (traçage) et désactive le traçage du code du virus.

Le vendredi 13, le virus change les ports vidéo VGA.

Le virus contient également les chaînes de texte internes:


COMMAND NET? .CHKDSK.WEB.DRWEB.INFO.COM ATH = *. BAT


Lien vers l'original