Virus.Win16.CyberTech

Technical Details

Очень опасный резидентный NewEXE-вирус. При запуске зараженного файла записывается в ядро Windows (KERNEL – KRNL286.EXE или KRNL386.EXE) и
возвращает управление программе-носителю. При загрузке системы с зараженным KERNEL вирус перехватывает системный вызов WinExec (запуск файлов) и записывается в конец NewEXE-файлов при их запуске.
При заражении KERNEL вирус определяет его handle функцией GetModuleHandle, записывает туда свой код и правит системные таблицы таким образом, что
адрес процедуры WinExec указывает на код вируса. При загрузке зараженного KERNEL вирус остается в памяти как часть KERNEL. Так как адрес WinExec уже
установлен на код вируса, то при запуске файлов вирус получает управление и заражает их.
Вирус определяет уже зараженные файлы по строке “LROY”, которую при заражении помещает в поле контрольной суммы в заголовке NewEXE.
В зависимости от системной даты и номера текущего дня вирус выводит MessageBox с заголовком:

Chicago 7: Cyber riot

Текст внутри MessageBox зависит от дня. В апреле, начиная с 29-го, 1 мая вирус выводит:

Happy anniversary, Los Angeles!
Anarchists of the world, unite!

По пятницам до 13-го числа:

When the levee breaks, I have no place to stay...
(Crying won't help you. Praying won't do you no good.)

6 марта и в декабре с 1-го по 26-е:

Save the Whale, harpoon a fat cat.

После вывода сообщения вирус стирает сектора дисков.
Вирус также содержит строки:

USER KERNEL Chicago-7 CyberRiot, 15.1.1993 Klash (Werner L.)
Sommer 1993: 15 Windowscomputerviren

Coming soon: Diet riot. Same great aftertaste--fewer bytes.

Source code avaiable for $15,000,000. Serious inquiries only.

Why does IBM need to lay me off? Oh well, their loss.
McAfee's FUD equation: !!!!!!+??????=$$$$$$

Convict the pigs

This program was written in the cities of Hamburg, Chicago, Seattle and
Berkeley. Copyright (C) 1993 Klash/Skism/George J/Phalcon/Henry Buscombe
and 2 ex-Softies, collectively known as the Chicago 7.