BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Virus.DOS.Frodo

Bulunma tarihi 11/20/2003
Sınıf Virus
Platform DOS
Açıklama

Bu bellek yerleşik stealth virüs, 4096 (1000h) bayt uzunluğundadır. Yürütme ya da kapanma üzerine dosyaları bozar. Veri dosyalarının kirlenmesi de mümkündür. Virüs, kopyasını, virüslü bir dosyanın boyutu tam olarak 4096 bayt olacak şekilde tamamlar (bkz. "Eddie.2000"). Virüslü dosyalarda, virüs son değişiklik zamanını 100 yıl artırır. COM dosyalarında, ilk 6 bayt değiştirir ve EXE dosyaları, üstbilgiyi değiştirir.

Dosyalara girildikten sonra, "Frodo", "Yankee": algoritması kullanılarak aldığı 13h ve 21h kesinti vektörlerinin gerçek değerlerini kullanır. Buna ek olarak, "Frodo" INT 21h işleyicisinin ilk 5 baytını değiştirir.

TSR-kopyasını oluştururken, virüs COMMAND.COM dosyasını enfekte ederek sonuçlanan üst adresleri kaplar. "Frodo", MCB'deki sahip adresini, sistemdeki ilk MCB sahibinin adresiyle çakışarak, DOS gibi bir şekilde maskeleyerek ayarlar. Daha sonra, virüsün kopyası daha düşük adresler yönünde bellekte hareket edebilir, yeni bellek alanları tahsis edebilir ve eskileri temizleyebilir.

Gerçek bir gizli virüs: INT 21h'yi kesiyor, onun 20 (!) Işlevlerini (FindFirst, FindNext, Read, Write, Lseek, Open, Create, Close, Exec vb.) Ele alıyor ve etkin bir şekilde maskeler. DOS bulaşmış bir dosyaya erişmeye çalıştığında, virüs orijinal uzunluğunu ve son değişiklik zamanını değiştirir. Bir dosyayı belleğe okurken veya yükledikten sonra, diskten okunan bilgileri, dosyanın virüs bulaşmamış gibi görüneceği şekilde değiştirir. Virüs bulaşmış bir dosyayı yazmaya başladıktan sonra virüs onu iyileştirir (dosyaya yazma işlemi virüsün bir kısmını silebilir) ve kapatıldıktan sonra yeniden düzeltir.

Virüs her yıl 22 Eylül'den 31 Aralık'a kadar sürüyor. Virüs kodunun ilgili alanının silinmesi nedeniyle virüsün nasıl çalıştığı bilinmemektedir. Virüsün bir disketin ve sabit diskin MBR-sektörünün Boot-sektörünü silerek kendi kodunu orada yazdığı varsayılabilir. Böyle bir diskten yeniden başlatıldığında, ekranda "sahte grafikler kullanarak" mesajı görüntülenir "FRODO LIVES!" büyük harflerle.


Orijinaline link