Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Резидентные опасные зашифрованные стелс-вирусы. Перехватывает INT 9, 21h и записывается в конец COM-, EXE- и OVL-файлов при их запуске или
закрытии. В вирусах реализован «стелс»-механизм, для этого они перехватывают и обрабатывают 16 DOS-функций работы с файлами.
Создают файл C:FISH-#9.TBL, в который записывают MBR винчестера и текст:

FISH VIRUS #9 A Whale is no Fish!  Mind her Mutant Fish and the hidden Fish
Eggs for they are damaging. The sixth Fish mutates only if Whale is in her
Cave

С 19-го февраля по 20 марта завешивают систему и выводят на экран строку:

THE WHALE IN SEARCH OF THE 8 FISH I AM '~knzyvo}' IN HAMBURG

Вирусы также содержат строки:

THE WHALE
5HS5IF
5IF5HS

Анализ вируса «Whale» является очень трудоемким занятием, так как его
9Кб(!) кодов буквально нашпигованы программными «штучками», затрудняющими
трассировку, дизассемблирование и анализ вируса. Для того чтобы получить
его листинг, приходится разобраться с десятком специальных способов
программирования (динамическое рас/зашифрование, «пустышки», использование
конвейера, несколько вложенных шифровок кода и т.д.). При заражении к файлу
дописывается зашифрованное тело вируса и расшифровщик, который выбирается
из 30 вариантов. Т.е. при поиске вируса в файле необходимо использовать 30
масок.

Класс	Virus
Платформа	DOS
Описание	Technical Details Резидентные опасные зашифрованные стелс-вирусы. Перехватывает INT 9, 21h и записывается в конец COM-, EXE- и OVL-файлов при их запуске или закрытии. В вирусах реализован «стелс»-механизм, для этого они перехватывают и обрабатывают 16 DOS-функций работы с файлами. Создают файл C:FISH-#9.TBL, в который записывают MBR винчестера и текст: FISH VIRUS #9 A Whale is no Fish! Mind her Mutant Fish and the hidden Fish Eggs for they are damaging. The sixth Fish mutates only if Whale is in her Cave С 19-го февраля по 20 марта завешивают систему и выводят на экран строку: THE WHALE IN SEARCH OF THE 8 FISH I AM '~knzyvo}' IN HAMBURG Вирусы также содержат строки: THE WHALE 5HS5IF 5IF5HS Анализ вируса «Whale» является очень трудоемким занятием, так как его 9Кб(!) кодов буквально нашпигованы программными «штучками», затрудняющими трассировку, дизассемблирование и анализ вируса. Для того чтобы получить его листинг, приходится разобраться с десятком специальных способов программирования (динамическое рас/зашифрование, «пустышки», использование конвейера, несколько вложенных шифровок кода и т.д.). При заражении к файлу дописывается зашифрованное тело вируса и расшифровщик, который выбирается из 30 вариантов. Т.е. при поиске вируса в файле необходимо использовать 30 масок.

Virus.DOS.Whale

Technical Details