Kaspersky Threats — DarkParanoid

Класс

Платформа

Описание

Technical Details

Резидентный полиморфик-вирус. Перехватывает INT 1, 21h и заражает
выполняемые файлы DOS — записывается в конец EXE-файлов и начало
COM-файлов. Файлы заражаются при их открытии или копировании. Не заражаются
файлы, содержащие в начале своего имени символы: AV, SC, CL, GU, NO, FV,
TO, TB (AVP, AVG, SCAN, CLEAN, GUARD, TBAV, e.t.c.) При заражении размер
файла увеличивается на случайное значение — 5297 байт зашифрованного кода
вируса и от 0 до 1001 байт случайных данных.
Вирус использует очень сложный алгоритм шифровки своего кода — в каждый
момент времени только одна инструкция вируса оказывается расшифрованной, а
все остальные инструкции — зашифрованы. Для реализации этого алгоритма
вирус перехватывает INT 1 и переводит процессор в режим трассировки. В
этом режиме после исполнения каждой ассемблерной инструкции процессор
генерирует INT 1, вирус перехватывает управление, зашифровывает только что
выполненную инструкцию и расшифровывает следующую.
Более того, вирус за/расшифровывает не исключительно предыдущую/следующую
инструкции, но несколько байт по нескольким оффсетам от текущей инструкции.
В результате следующая/предыдущая инструкции являются полу-расшифрованными,
через одну — на 2/3 за/расшифрованными и т.д. Работа вируса, таким образом
выглядит как «ползущее» по коду вируса «пятно» — в центре этого пятна
находится полностью расшифрованная текущая инструкция, остальные инструкции
лишь частично расшифрованы, а за пределами пятна находится полностью
зашифрованный код вируса.
В вируса присутствуют три блока, которые не могут быть зашифрованы
описанным выше способом. Это — стартовый код в зараженном файле, код
обработчика INT 21h и непосредственно код за/расшифровщика в перехватчике
INT 1. Однако и этот код является непостоянным — вирус случайным образом
получает его при помощи своего полиморфик-генератора. «Точки входа» в
зараженный файл и в INT 21h содержит достаточно короткие программы, которые
перехватывают INT 1 и отдают управление на зашифрованный основной код
вируса.
В зависимости от своего случайного счетчика вирус выводит в середину экрана
текст «DaRK PARaNOiD» и пищит динамиком компьютера. Вирус также содержит
строку:

ENGINE OF ETERNAL ENCRYPTION

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	DOS
Описание	Technical Details Резидентный полиморфик-вирус. Перехватывает INT 1, 21h и заражает выполняемые файлы DOS — записывается в конец EXE-файлов и начало COM-файлов. Файлы заражаются при их открытии или копировании. Не заражаются файлы, содержащие в начале своего имени символы: AV, SC, CL, GU, NO, FV, TO, TB (AVP, AVG, SCAN, CLEAN, GUARD, TBAV, e.t.c.) При заражении размер файла увеличивается на случайное значение — 5297 байт зашифрованного кода вируса и от 0 до 1001 байт случайных данных. Вирус использует очень сложный алгоритм шифровки своего кода — в каждый момент времени только одна инструкция вируса оказывается расшифрованной, а все остальные инструкции — зашифрованы. Для реализации этого алгоритма вирус перехватывает INT 1 и переводит процессор в режим трассировки. В этом режиме после исполнения каждой ассемблерной инструкции процессор генерирует INT 1, вирус перехватывает управление, зашифровывает только что выполненную инструкцию и расшифровывает следующую. Более того, вирус за/расшифровывает не исключительно предыдущую/следующую инструкции, но несколько байт по нескольким оффсетам от текущей инструкции. В результате следующая/предыдущая инструкции являются полу-расшифрованными, через одну — на 2/3 за/расшифрованными и т.д. Работа вируса, таким образом выглядит как «ползущее» по коду вируса «пятно» — в центре этого пятна находится полностью расшифрованная текущая инструкция, остальные инструкции лишь частично расшифрованы, а за пределами пятна находится полностью зашифрованный код вируса. В вируса присутствуют три блока, которые не могут быть зашифрованы описанным выше способом. Это — стартовый код в зараженном файле, код обработчика INT 21h и непосредственно код за/расшифровщика в перехватчике INT 1. Однако и этот код является непостоянным — вирус случайным образом получает его при помощи своего полиморфик-генератора. «Точки входа» в зараженный файл и в INT 21h содержит достаточно короткие программы, которые перехватывают INT 1 и отдают управление на зашифрованный основной код вируса. В зависимости от своего случайного счетчика вирус выводит в середину экрана текст «DaRK PARaNOiD» и пищит динамиком компьютера. Вирус также содержит строку: ENGINE OF ETERNAL ENCRYPTION
	Узнай статистику распространения угроз в твоем регионе

Virus.DOS.DarkParanoid

Technical Details