Virus.DOS.Whale

Technical Details

Резидентные опасные зашифрованные стелс-вирусы. Перехватывает INT 9, 21h и записывается в конец COM-, EXE- и OVL-файлов при их запуске или
закрытии. В вирусах реализован “стелс”-механизм, для этого они перехватывают и обрабатывают 16 DOS-функций работы с файлами.
Создают файл C:FISH-#9.TBL, в который записывают MBR винчестера и текст:

FISH VIRUS #9 A Whale is no Fish!  Mind her Mutant Fish and the hidden Fish
Eggs for they are damaging. The sixth Fish mutates only if Whale is in her
Cave

С 19-го февраля по 20 марта завешивают систему и выводят на экран строку:

THE WHALE IN SEARCH OF THE 8 FISH I AM '~knzyvo}' IN HAMBURG

Вирусы также содержат строки:

THE WHALE
5HS5IF
5IF5HS

Анализ вируса “Whale” является очень трудоемким занятием, так как его
9Кб(!) кодов буквально нашпигованы программными “штучками”, затрудняющими
трассировку, дизассемблирование и анализ вируса. Для того чтобы получить
его листинг, приходится разобраться с десятком специальных способов
программирования (динамическое рас/зашифрование, “пустышки”, использование
конвейера, несколько вложенных шифровок кода и т.д.). При заражении к файлу
дописывается зашифрованное тело вируса и расшифровщик, который выбирается
из 30 вариантов. Т.е. при поиске вируса в файле необходимо использовать 30
масок.