Technical Details
Опасный резидентный Windows-вирус. Использует системные вызовы Win95/98 и
по этой причине неработоспособен под WinNT. Содержит ошибки и часто
завешивает компьютер при заражении файлов. Несмотря на это представляет
достаточный интерес с технической точки зрения – вирус использует довольно
необычный прием заражения файлов.
Вирус может быть обнаружен только в двух файлах: в файле “SETUP.EXE” на
дискетах и в файле “SETUP .EXE” в корне диска C: (в имени этого файла
присутствует пробел).
На дискетах вирус использует необычный для современных вирусов прием
расположения своего тела. Вирус записывает свой код в последние кластера
дискеты и модифицирует присутствующий на ней файл SETUP.EXE таким образом,
что при запуске он считывает код вируса непосредственно с кластеров
дискеты и инсталлирует его в систему.
Зараженный SETUP.EXE на дискетах выгладит как 512-байтная DOS
EXE-программа, однако это не совсем так. При заражении этого файла на
дискете вирус использует метод вируса “DirII” и таким образом
прячет свой основной код: при помощи вызовов чтения/записи секторов дискеты
вирус получает доступ к ее системным областям (корневой каталог и FAT-ы),
изменяет номер первого кластера файла SETUP.EXE и необходимым образом
модифицирует таблицы FAT. В результате первоначальное содержимое файла
SETUP.EXE остается без изменений, однако соответствующая запись в каталоге
дискеты указывает на код вируса.
При запуске этого SETUP.EXE с зараженной дискеты DOS-компонента вируса
получает управление, создает файл “C:SETUP .EXE” и записывает в него копию
вируса, предварительно считав эти данные с дискеты. Затем вирус запускает
этот файл, и управление получает процедура инсталляции вируса в систему.
Затем вирус “лечит” на дискете файл SETUP.EXE.
При инсталляции в систему вирус создает в системном реестре новый ключ
авто-запуска своей копии при каждом рестарте Windows:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
YOBE=””C:SETUP .EXE” YOBE”
Затем вирус переключается на уровень ядра Windows (Ring0), выделяет себе
блок памяти, копирует туда свой код, перехватывает команды работы с файлами
(IFS API) и остается в памяти Windows как VxD-драйвер. Перехватчик вируса
обрабатывает только открытие файлов. Если открывается файл SETUP.EXE на
диске A:, вирус заражает его описанным выше способом.
Вирус содержит также дополнительные процедуры. Первая из них ищет и
выгружает антивирусные мониторы “AVP Monitor” и “Amon Antivirus Monitor”.
Вторая в зависимости от случайного счетчика выводит в левую часть экрана
вертикальную полосу, заполненную словами “YOBE”.
|