Virus.DOS.Bomber

Дата обнаружения 11/01/2002
Класс Virus
Платформа DOS
Описание

Technical Details

Безобидный резидентный полиморфик-вирус. Перехватывает INT 21h и
заражает COM-файлы, кроме COMMAND.COM, при их запуске. Содержит внутри себя
тексты:

COMMANDER BOMBER WAS HERE
[DAME]

Характерной чертой этого вируса является то, что он использует довольно
необычный полиморфик-алгоритм. При заражении вирус считывает 4096 байт из
середины файла и переносит их в его конец. Себя он записывает в
образовавшуюся ‘дыру’ и приступает к генерации полиморфик-кода. Вирус
содержит несколько подпрограмм генерации случайного (но вполне
работоспособного!) кода, который записывается в случайные места заражаемого
файла. В этом коде может присутствовать около 90% всех инструкций
процессора i8086. Управление из одного участка в другой передается
командами CALL, JMP, RET, RET xxxx. Первый участок записывается в начало
файла, а последний передает управление на основное тело вируса. В итоге
зараженный файл выглядит как бы покрытий ‘пятнами’ кода вируса, а процедура
обнаружения основного тела вируса становится чрезвычайно сложной.