Virus.DOS.Frodo

Дата обнаружения 20/11/2003
Класс Virus
Платформа DOS
Описание

Резидентные очень опасные стелс-вирусы. Трассируют и перехватывают INT 13h, 21h, затем записываются в конец COM- и EXE-файлов

при их запуске или закрытии. Возможно поражение файлов данных. Дописывают свою копию так, чтобы размер файла увеличился ровно на 4096 байт (см.

описание вируса «Eddie.2000»). У пораженных файлов увеличивают значение времени последней модификации на 100 лет. У COM-файлов изменяют

первые 6 байт, у EXE-файлов — заголовок.

При создании резидентной копии располагаются в старших адресах, что приводит к заражению файла COMMAND.COM. Устанавливают в своем MCB адрес

владельца (owner), совпадающий с адресом владельца первой MCB в системе, маскируясь под DOS. В дальнейшем копия вируса может перемещаться по памяти в направлении младших адресов, выделяя себе новые участки памяти и освобождая старые.

Полноценные «стелс»-вирусы: обрабатывают 20 функций INT 21h, (FindFirst,

FindNext, Read, Write, Lseek, Open, Create, Close, Exec и т.д.) и хорошо

маскируются. При обращении DOS к зараженному файлу вирусы подставляют его

первоначальную длину и время модификации. При чтении файла или загрузке его

в память модифицируют считанную с диска информацию таким образом, что файл

предстает в незараженном виде. При открытии файла для записи вирусы лечат

его (так как запись в файл может уничтожить часть вируса) и снова заражают

при закрытии.

Проявляются с 22 сентября по 31 декабря ежегодно: уничтожают загрузочный

сектор флоппи-дисков и MBR-сектор винчестера, записывая в них собственный

код. При загрузке с такого диска на экран большими буквами (при помощи

псевдографики) выводится фраза:




FRODO LIVES!