Virus.Win9x.Yobe

Класс Virus
Платформа Win9x
Описание

Technical Details

Опасный резидентный Windows-вирус. Использует системные вызовы Win95/98 и
по этой причине неработоспособен под WinNT. Содержит ошибки и часто
завешивает компьютер при заражении файлов. Несмотря на это представляет
достаточный интерес с технической точки зрения — вирус использует довольно
необычный прием заражения файлов.

Вирус может быть обнаружен только в двух файлах: в файле «SETUP.EXE» на
дискетах и в файле «SETUP .EXE» в корне диска C: (в имени этого файла
присутствует пробел).

На дискетах вирус использует необычный для современных вирусов прием
расположения своего тела. Вирус записывает свой код в последние кластера
дискеты и модифицирует присутствующий на ней файл SETUP.EXE таким образом,
что при запуске он считывает код вируса непосредственно с кластеров
дискеты и инсталлирует его в систему.

Зараженный SETUP.EXE на дискетах выгладит как 512-байтная DOS
EXE-программа, однако это не совсем так. При заражении этого файла на
дискете вирус использует метод вируса «DirII» и таким образом
прячет свой основной код: при помощи вызовов чтения/записи секторов дискеты
вирус получает доступ к ее системным областям (корневой каталог и FAT-ы),
изменяет номер первого кластера файла SETUP.EXE и необходимым образом
модифицирует таблицы FAT. В результате первоначальное содержимое файла
SETUP.EXE остается без изменений, однако соответствующая запись в каталоге
дискеты указывает на код вируса.

При запуске этого SETUP.EXE с зараженной дискеты DOS-компонента вируса
получает управление, создает файл «C:SETUP .EXE» и записывает в него копию
вируса, предварительно считав эти данные с дискеты. Затем вирус запускает
этот файл, и управление получает процедура инсталляции вируса в систему.
Затем вирус «лечит» на дискете файл SETUP.EXE.

При инсталляции в систему вирус создает в системном реестре новый ключ
авто-запуска своей копии при каждом рестарте Windows:


HKLMSoftwareMicrosoftWindowsCurrentVersionRun
YOBE=»»C:SETUP .EXE» YOBE»

Затем вирус переключается на уровень ядра Windows (Ring0), выделяет себе
блок памяти, копирует туда свой код, перехватывает команды работы с файлами
(IFS API) и остается в памяти Windows как VxD-драйвер. Перехватчик вируса
обрабатывает только открытие файлов. Если открывается файл SETUP.EXE на
диске A:, вирус заражает его описанным выше способом.

Вирус содержит также дополнительные процедуры. Первая из них ищет и
выгружает антивирусные мониторы «AVP Monitor» и «Amon Antivirus Monitor».
Вторая в зависимости от случайного счетчика выводит в левую часть экрана
вертикальную полосу, заполненную словами «YOBE».