Virus.Boot.PurpleCum

Класс Virus
Платформа Boot
Описание

Technical Details

Опасный резидентный загрузочный стелс-вирус. Перехватывает INT
13h, 2Fh и записывается в MBR винчестера и boot-сектора дискет. Использует
INT 2Fh для того, чтобы восстанавливать значение системной памяти (слово по
адресу 0000:0413). Использует метод вируса «ExeBug» для того,
чтобы заразить память компьютера даже при загрузке с чистой системной
дискеты.
Вирус содержит ошибки и может завесить систему. Содержит строку:

PURPLE:CUM

Technical Details

Очень опасный вирус, длина 512 байт (1 сектор). Перехватывает INT 13h.
Заражает boot-сектор дискет и винчестера при чтении с них (INT 13h, AH=2).
Первоначальный boot-сектор сохраняет на флоппи-диске по адресу 0/1/3
(трек/сторона/сектор), на винчестере — по адресу 1/3/13. При этом может
уничтожить один из секторов FAT или данных (в зависимости от объема диска).
При заражении винчестера предполагает, что его boot-сектор расположен по
адресу 0/1/1 (это говорит о низкой квалификации автора вируса).
Судя по листингу вируса при инфицировании диска с вероятностью 1/256 (в
зависимости от значения своего внутреннего счетчика) вирус должен вызывать
INT 5 (печать экрана), но допущена ошибка, в результате которой новое
значение счетчика не сохраняется.

PrintScreen.b

Неопасен, перехватывает INT 10h, 40h и записывается в boot-сектора
флоппи-дисков. При выводе символов на экран конвертирует их в lowercase.