Virus.DOS.DarkParanoid

Класс Virus
Платформа DOS
Описание

Technical Details

Резидентный полиморфик-вирус. Перехватывает INT 1, 21h и заражает
выполняемые файлы DOS — записывается в конец EXE-файлов и начало
COM-файлов. Файлы заражаются при их открытии или копировании. Не заражаются
файлы, содержащие в начале своего имени символы: AV, SC, CL, GU, NO, FV,
TO, TB (AVP, AVG, SCAN, CLEAN, GUARD, TBAV, e.t.c.) При заражении размер
файла увеличивается на случайное значение — 5297 байт зашифрованного кода
вируса и от 0 до 1001 байт случайных данных.
Вирус использует очень сложный алгоритм шифровки своего кода — в каждый
момент времени только одна инструкция вируса оказывается расшифрованной, а
все остальные инструкции — зашифрованы. Для реализации этого алгоритма
вирус перехватывает INT 1 и переводит процессор в режим трассировки. В
этом режиме после исполнения каждой ассемблерной инструкции процессор
генерирует INT 1, вирус перехватывает управление, зашифровывает только что
выполненную инструкцию и расшифровывает следующую.
Более того, вирус за/расшифровывает не исключительно предыдущую/следующую
инструкции, но несколько байт по нескольким оффсетам от текущей инструкции.
В результате следующая/предыдущая инструкции являются полу-расшифрованными,
через одну — на 2/3 за/расшифрованными и т.д. Работа вируса, таким образом
выглядит как «ползущее» по коду вируса «пятно» — в центре этого пятна
находится полностью расшифрованная текущая инструкция, остальные инструкции
лишь частично расшифрованы, а за пределами пятна находится полностью
зашифрованный код вируса.
В вируса присутствуют три блока, которые не могут быть зашифрованы
описанным выше способом. Это — стартовый код в зараженном файле, код
обработчика INT 21h и непосредственно код за/расшифровщика в перехватчике
INT 1. Однако и этот код является непостоянным — вирус случайным образом
получает его при помощи своего полиморфик-генератора. «Точки входа» в
зараженный файл и в INT 21h содержит достаточно короткие программы, которые
перехватывают INT 1 и отдают управление на зашифрованный основной код
вируса.
В зависимости от своего случайного счетчика вирус выводит в середину экрана
текст «DaRK PARaNOiD» и пищит динамиком компьютера. Вирус также содержит
строку:

ENGINE OF ETERNAL ENCRYPTION