Virus.DOS.Frodo

これは、4096（1000h）バイトのメモリ常駐ステルスウイルスです。実行時または終了時にファイルに感染します。データファイルの汚染も可能です。ウイルスは、感染ファイルのサイズが正確に4096バイト増加するようにコピーを完了します（「Eddie.2000」を参照）。感染ファイルでは、このウイルスは最終更新日時を100年増加させます。 COMフ​​ァイルでは、最初の6バイトが変更され、EXEファイルではヘッダーが変更されます。

ファイルを入力すると、 "Frodo"は "Yankee"アルゴリズムを使用して受信する割り込みベクトル13hと21hの真の値を使用します。これに加えて、 "Frodo"はINT 21hハンドラの最初の5バイトを変更します。

そのTSRコピーを作成するとき、ウイルスは、COMMAND.COMファイルに感染する結果のトップアドレスを占有します。 「Frodo」は、システム内の最初のMCB所有者のアドレスと一致するMCB内の所有者アドレスを設定し、DOSなどの方法でマスクします。その後、ウイルスのコピーが、より低いアドレスの方向にメモリを移動し、新しいメモリ領域を割り当て、古いメモリ領域をクリアする可能性があります。

真のステルスウィルス：INT 21hを傍受し、20（！）の機能（FindFirst、FindNext、Read、Write、Lseek、Open、Create、Close、Execなど）を処理し、効果的にマスクします。 DOSが感染ファイルにアクセスしようとすると、ウイルスは元の長さと最後の変更時刻を置き換えます。ファイルをメモリに読み込んだり読み込んだりすると、そのファイルが感染していないかのように見えるようにディスクから読み込まれた情報が変更されます。感染ファイルを書き込むためにウイルスを開くと、ウイルスはそれを治療します（ファイルへの書き込みによってウイルスの一部が削除される可能性があるため）。

このウイルスは毎年9月22日から12月31日にかけて発生します。ウイルスコードの対応する領域が削除されるため、ウイルスがどのように動作するかはわかりません。このウイルスはフロッピーディスクのブートセクタとハードディスクのMBRセクタを削除し、そこに独自のコードを書き込むものと推定されます。このようなディスクからリブートすると、画面には "FRODO LIVES！"というメッセージが表示されます（疑似グラフィックシンボルを使用）。大文字で