Virus.DOS.ArjVirus

Класс Virus
Платформа DOS
Описание

Technical Details

Опасный нерезидентный вирус-червь (worm). Ищет архивные файлы *.ARJ и
добавляет в них свою копию. Ищет ARJ-файлы в текущем и во всех родительских
каталогах. Если архивный файл найден, вирус создает временный файл-червь с
расширением .COM и случайно выбранным именем, например BHPL.COM, NLJJ.COM,
OKPD.COM и т.д. Длина имени равна четырем байтам. Затем вирус записывает
себя в этот файл, добавляет мусор (чтобы файл-червь был различной длины в
разных случаях поражения архивов).
Этот файл-червь добявляется к тем файлам, которые уже упакованы в
обнаруженном архиве. Вирус делает это при помощи самого архиватора ARJ:
запускает копию процессора COMMAND.COM с указанием имени файла для
выполнения. Строка, которая передается функции EXEC, выглядит следующим
образом:

c:command.com /c arj a  .com

где ‘a’ — параметр архиватора ARJ.EXE, при этом файл будет добавлен к уже
упакованным файлам. — имя обнаруженного файла-архива,
— имя файла-червя. Параметр «/c» предписывает командному процессору
COMMAND.COM выполнить указанный файл (ARJ.EXE) и отдать управление
вызвавшей программе.
Затем вирус уничтожает временный файл и ищет следующий ARJ-файл. Если
таковых больше нет, вирус возвращается в DOS.