Worm.DOS.Info

技術的な詳細

これらは危険なメモリ常駐暗号化ステルスウイルスワームではありません。実行中にメッセージを表示します：

"Worm.Info.2142"：

 –  *  –  INFOSYSTEM  –  *  – バージョン1.04（C）1995 Ziff Co.システム情報を読む…コンピュータの種類：IBM PC

"Worm.Info.2191"：

InfoSystemバージョン1.01システム情報を読む…コンピュータの種類：IBM PC

"Worm.Info.2259"：

システム情報を読む…コンピュータの種類：IBM PC

彼らはコンピュータのタイプをチェックし、文字列の1つを表示します：

元のXTATコンバーチブルPS / 2ジュニア未知の

その後、ウイルスは次のメッセージを表示します。

HDDコントローラの確認中…SCSIコントローラタイプ：不明（Error14）

感染ルーチンを呼び出します。コンピュータに感染すると、PATH文字列にリストされたディレクトリが検索され、そこにINFO.COMファイルが作成され、コードがそこに書き込まれます。その後、ウイルスはこれらのディレクトリ内の.BATファイルを検索し、次のコマンドを書き込みます。

@ifは存在しないinfo.com goto noinfo@info> nul：noinfo

バッチファイルの先頭に移動します。そのようなBATファイルを実行するとウイルスが実行されます。

その後、ウィルスはUMB、HMA、または従来のメモリに常駐するメモリをインストールし、INT 1Ch、21hをフックし、そのコードをFindFirst（AH = 11h、4Eh）の現在のディレクトリにドロップします。変更されたBATファイルへのアクセス、およびFindFirst / Next呼び出しでは、ウイルスはステルスルーチンを呼び出します。このウイルスは実行されるプログラムの名前もチェックし、その名前がCHDDSK、WEBまたはDRWEBの場合、ウイルスはそのステルスルーチンを無効にします。

INT 1Chをフックすると、ウイルスはINT 1ベクトル（トレース）をチェックし、ウイルスコードのトレースを無効にします。

金曜日の13日にウイルスはVGAビデオポートを変更します。

ウイルスには内部テキスト文字列も含まれています：

COMMAND NET？.CHKDSK.WEB.DRWEB.INFO.COM ATH = * .BAT