Жанр: Учеба
Компьютерная вирусология ч. 1
...т 666. В коде
вируса используется ряд недокументированных функций MS DOS. Формально
RC-0-512 представляет первый сегментированный резидентный
файловый вирус. В нем используется несовершенство распределения
дисковой памяти в MS DOS: размер кластера обычно превышает размер
сектора как минимум в два раза и поэтому можно использовать незаполненные
"хвосты" в последнем секторе для хранения части тела вируса
(модификация первых команд остается обязательной, иначе вирус
не сможет получить управления). Фактически эту схему можно рассматривать
как попытку перенесения схемы бутового вируса на файловый
вирус. Как известно, бутовый вирус, в отличие от файлового,
сегментирован и состоит из головы и хвоста. Голова находится в
бутсекторе, а хвост храниться где-то в другом месте и его загрузка
выполняется головой. Аналогично вирус RC-0-512 рассматривает первый
сектор COM-файла как бутсектор и заменяет его своим телом, а
хвост, представляющий собой оригинальный первый сектор зараженной
программы, прячет в неиспользуемый сектор последнего кластера.
Очевидно, что вирус может заражать на дискете только те файлы, у
которых второй сектор последнего кластера полностью свободен. На
винчестере возможно заражение большинства COM-файлов, так как размер
кластера значительно больше и один свободный сектор имеется
практически всегда.
При заражении RC-0-512 записывает себя в первый сектор заражаемого
COM-файла, предварительно переписав "оригинальный" первый
сектор в один из незаполненных секторов последнего кластера, занимаемого
файлов, если таковой имеется. Отсюда следует, что зараженные
файлы, скопированные с помощью команды COPY MS DOS (а она копирует
файл побайтово в соответствии с указанной в элементе
каталога длиной), будут неработоспособны, а находящийся в них вирус
— работоспособным.
Подобно специфическому механизму заражения, вирус использует необычный
механизм инсталляции в оперативной памяти: для хранения
собственного тела вирус "откусывает" первый буфер буферного пула
MS DOS, переставляя указатель на первый буфер так, чтобы он указывал
на второй буфер. Таким образом, определить его наличие в памяти
без полного сканирования оперативной памяти можно только, если
знаешь где искать. Этот факт свидетельствует о том, что оптимизация
просмотра оперативной памяти в контекстных детекторах и полифагах
является неверным шагом и может ухудшить качество
детектирования.
Как и в других вирусах группы DARK AVENGER, заражение происходит
как при открытии, так и при выполнении файла. Заражаются файлы,
первые две буквы расширения которых "CO". При копировании заражаются
как копия, так и оригинал.
Вирус заражает COMMAND.COM. Поскольку при перезагрузке системы
командный процессор загружается в память до появления в ней резидентного
вируса, то вирус инсталлируется, а затем подгружает недостающую
часть командного процессора из свободного сектора последнего
кластера.
Исторические замечания. Вирус RC-0-512, по-видимому, разработан
в Болгарии техно-крысой, называющей себя Dark Avenger. Он был обнаружен
студентом-программистом Василем Никодимовым в ноябре 1989
г. в Институте математики (София). Сведения о нем опубликованы в
статье В.Бончева в номере 1-2 за 1990 журнала "Компютър за вас". В
СССР обнаружен практически одновременно в Москве и Киеве в начале
сентября 1990 г.
Методы и программные средства защиты. Данный вирус диагностируется
полидетектором SCAN и любым контекстным детектором, содержащим
соответствующую сигнатуру. Возможность создания резидентной
вакцины неясна. Рекомендуемые полифаги приведены в прил.1. В связи
с используемым механизмом заражения, при его создании возникает
проблема с определением, хранится ли в соответствующем секторе последнего
кластера оригинальная голова COM-файла (первые 512 байтов
программы) или файл был скопирован и там теперь просто мусор. В
последнем случае восстановление приведет к записи мусора на место
тела вируса. Неясно также, что произойдет при оптимизации диска,
содержащего зараженные файлы, с помощью утилиты NCC, СОМPRESS и
т.д.
5.8. Вирус RC-394 (Attention — Внимание)
Неформальное название данного вируса связано с тем, что в начале
любой зараженной данным вирусом программы после 3-байтовой команды
перехода на тело вируса расположена 12-байтовая текстовая строка
"Attention !". После этой строки стоит байт 1Ah. Формально RC-394
является файловым резидентным вирусом заражающим COM-файлы при запуске
их на выполнение (прерывание 21-4B). Длина вируса (394 байта)
совпадает с приращением зараженных файлов. Это один из самых
маленьких резидентных вирусов, из располагающих свое тело в старших
адресах оперативной памяти.
Вирус заражает COM-файлы длиной от 786 (312h) до 64921 (FD99h)
байт. При заражении тело вируса дописывается в конец файла и изменяет
первые 16 байт, как было указано выше. Если заражаемый файл
был защищен атрибутом READ-ONLY, то перед заражением вирус снимает
этот атрибут и не восстанавливает его после заражения.
При инсталляции записывает свое тело в старшие адреса оперативной
памяти. Перехватывает прерывания 21 и 24. Последнее прерывание
перехватывается не совсем корректно, что может приводить к зависанию
системы. Характерным проявлением вируса является включение мотора
дисковода А, при попытке заражения файлов на защищенной дискете,
вставленной в дисковод B.
Исторические замечания. Вирус, по-видимому, разработан на Западе.
В СССР обнаружен Д.Н.Лозинским в августе 1990 г.
Методы и программные средства защиты. Рекомендуемые фаги
приведены в прил.1. Детектирование возможно по приведенным в
прил.1 сигнатурам.
Фрагмент дампа дрозофилы, зараженной вирусом RC-394
0000: E90E10415454454E 54494F4E2020211A ...ATTENTION !.
0000: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
1000: 00CD209090909090 9090909090909090 .. .............
1010: 90E8F9002000C514 C01D9C50535152BB .... ......PSQR.
1020: 030031C9E2FEB00C BAF203EE31C9E2FE ..1.........1...
1030: BAF203B01CEE4B75 E95A595B589DB003 ......Ku.ZY[X...
1040: CF5053515257561E 0680FC4B740D071F .PSQRWV....Kt...
10F0: 58050D00A3010052 31C931D2B80042CD X......R1.1...B.
1100: 2159B440CD21B43E CD21E941FFFA5A81 !Y.@.!.".!.A..Z.
1110: EA1300BB7901A102 005031C9518ED99D ....y....P1.Q...
1120: 39061504750253CB 581E0E1F1EC7C11A 9...u.S.X.......
1130: 0029C8A30200508C C929C8498ED9A303 .)....P..).I....
1140: 00581F8EC08BF231 FFC7C18901F3A4BE .X.....1........
1150: 00018BF9B91000F3 A41F0653BB84008B ...........S....
1160: 07C707400026A315 008B47028C470226 ...@.&....G..G.&
1170: A317008C0615040E 07CBB910008BF2BF ................
1180: 0001061F1E57F3A4 FBCB .....W....
6. ФАЙЛОВЫЕ ВИРУСЫ, ИЗВЕСТНЫЕ ТОЛЬКО ПО ЛИТЕРАТУРЕ
6.1. Общие замечания
Многие из упоминаемых в зарубежной литературе файловых вирусов
пока в СССР выделены не были. В прил.3 приводятся собранные
автором сведения о таких вирусах, а последующих подразделах
сведения о наиболее важных их этих вирусов, опубликованные в
литературе. Большинство из этих вирусов диагностируется
полидетектором SCAN.
К сожалению, в условиях характерной для СССР информационной
изоляции доступа к оперативной информации по вирусам,
распространяющейся по таким сетям как BITNET, автор не имеет,
поэтому приводимые сведения неполны, а в ряде случаев и неточны.
Наиболее полной на сегодняшний день информацией, доступной автору,
является созданный Патрицией М. Хоффман (Patricia M.Hoffman) файл
VIRUS INFORMATION SUMMARY (версия от 10.08.90). Этот файл
опубликован в СП 2-8. Другими источниками является документация к
полидетекторам SCAN СП 2-7 и TNTVIRUS СП 2-8. Следует отметить,
что качество подготовки документации к программе SCAN, как,
впрочем и самой программы, вряд ли может быть оценено выше, чем
удовлетворительное: в ней приводятся ряд неверных сведений об
известных автору вирусах. Документация к TNTVIRUS более подробна,
однако сравнение со списком П.Хоффман свидетельствует о наличии
определенной связи между этими двумя документами, хотя ссылка на
П.Хоффман в документации отсутствует.
6.2. Новые стелс-вирусы
Последнее время наблюдается появление новых вирусов, при
разработке которых приняты изощренные меры по маскировке своего
присутствия на зараженной машине. Описываемые ниже вирусы основаны
на RCE-04096 и, возможно, принадлежат тому же автору.
6.2.1. Вирус RCE-03584 (Fish є Рыба)
Неформальное название данного вируса связано с тем, что иногда в
теле зараженных программ встречается строка "FISH FI". Кроме того,
проматривая оперативную память при резидентном вирусе можно
обнаружить имена некоторых рыб. Формально вирус представляет собой
резидентный файловый вирус, заражающий как COM-, так и EXE-файлы.
Вирус заражает COMMAND.COM. Подобно некоторым бутовым вирусам RCE03584
переживает теплую перезагрузку, перехватывая комбинацию
нажатий Ctrl-Alt-Del.
При выполнении зараженной программы, вирус проверяет свое
наличие в памяти и, если отсутствует, то инсталлируется в младших
адресах оперативной памяти. При этом, если прерывание 13 не
перехвачено другой программой, то вирус перехватывает это
прерывание и резервирует 8192 байта. Если прерывание 13 уже
перехвачено, то вирус резервирует только 4096 байт памяти и черех
некоторый, случайный интервал времени инициирует теплую
перезагрузку в процессе которой заражает COMMAND.COM и
перехватывает 13 прерывание.
Будучи резидентным, вирус заражает все открываемые COM- и EXEфайлы.
При этом длина зараженных файлов увеличивается на 3584
байта, однако это увеличение при резидентном вирусе маскируется.
При запуске программы CHKDSK на зараженной машине диагностируются
ошибки в распределении файлов. Если при этом CHKDSK запущена с
ключем /F, то попытки исправления ведут к потере кластеров и
сращиванию файлов.
Проявление вируса связано с тем, что он замедляет запись в
видеопамять и на инфицированных машинах заметно мерцание экрана
дисплея. Другие проявления вируса неизвестны, хотя вирус проверяет
равен ли текущий год 1991. Подобно вирусу RCE-04096 данный вирус
не обнаруживается ревизорами, запущенными на зараженной системе.
Вирус также обходит сторожа, следящие операциями записи на диск.
Кроме того, вирус постоянно перекодирует себя в оперативной
памяти.
Исторические замечания. Данный вирус является существенно
переработанной модификацией вирус RCE-04096 и был выделен в мае
1990 г. К моменту выделения он был достаточно распространен в
Западной Европе. Предполагается, что он был разработан в Западной
Германии. В СССР не выделен. Приводимые сведения базируются, в
основном, на списке П.Хоффман.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версии 66 (см. СП 2-7).
6.2.2. Вирус Mother Fish (Whale)
Данный вирус является наиболее сложным и изощренным из известных
стелс-вирусов. Размер кода достигает 9К. Это приблизительно 6 тыс
строк исходного текста, т.е. от нескольких месяцев до года упорной
работы. Вирус написан программистом, знакомым с непосредственным
программированием входящих в состав IBM/PC контроллеров, в
частности контролллера прерываний 8259 и контроллера 8255,
управляющего периферийными устройствами. Вирус зашифрован и имеет
самомодифицирующийся инсталлятор. Это делает детектирование
достаточно сложной задачей, хотя Scan вроде бы успешно с ней
справляется.
Исторические замечания. Данный вирус, по-видимому, является
развитием предыдущего. Обнаружен примерно в июле-августе 1990 г. в
Западной Европе, а также в Болгарии. В СССР не выделен. Приводимые
сведения базируются, в основном, на материалах Virus forum FIDO
NET.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версий, датированных августом 1990
г.
6.3. "Болгарская серия"
Как уже указывалось, Болгария пока является сновным поставщиком
файловых вирусов для СССР. Поэтому сведения о появишихся там
файловых вирусах представляют особый интерес.
6.3.1. Новые вирусы группы Dark Avenger
6.3.1.1. Вирус RCE-0651 (Eddie-3 - Эдди-3)
Вирус уменьшает системную память на 688 байтов. Уменьшение
системной памяти маскируется. Заражаются программы длиной более
651 байтов. Заражение происходит при запуске файлов на выполнение.
Увеличение длины маскируется при резидентном вирусе.
Инфицированные файлы содержат строку "Eddie Lives." в конце
инфицированного файла. Побочным эффектом вируса является появление
потерянных кластеров при проверке целостности файловой системы
командой CHKDSK /F
Неформальные названия. Eddie 3, Stealth Virus.
Исторические замечания. Вирус был обнаружен в Болгарии в апреле
1990. На Запад передан В.Бончевым. Приведенные сведения основаны
на описании П.Хоффман. По-видимому разработан в Софии техно-крысой
называющей себя Dark Avenger.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версии 66.
6.3.1.2. Вирус RC-800 (800, Live after Death - Жизнь после смерти)
Неформальное название связано с тем, что вирус содержит
текстовую строку "Live after Death", хотя она не видна при
просмотре дампа (вирус шифрует собственное тело при заражении).
Формально RC-800 - резидентный файловый вирус, заражающий файлы
при запуске их на выполнение, но не заражающий COMMAND.COM.
Шифрует собственное тело. При запуске зараженной программы вирус
инталлируется в старших адресах памяти, уменьшая системную память
на 16К (очевидно по принципу "гулять, так гулять"), используя
старшие 8192 байта. Перехватывает прерывание 2A. Файлы заражаются
при запуске на выполнение. Зараженные файлы заражаются повторно,
причем каждый раз длина учеличивается на 800 байтов. Минимальная
длина заражаемые файлов - 1K, однако файлы большие 800 байтов
также заражаются выборочно. Имеется штамм заражающий файлы как при
выполнении, так и при открытиии. Этот штамм уменьшает системную
память ровно на 8192 байта.
Исторические замечания. Вирус был обнаружен в Болгарии в мае
1990. На Запад передан В.Бончевым. Приведенные сведения основаны
на описании П.Хоффман. По-видимому, разработан в Софии технокрысой,
называющей себя Dark Avenger.
Неформальные названия.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.3.1.3. Вирус RCE-1024
Данные вирус, по видимому является более ранней версией RCE2000.
Формально данный вирус является резидентным. файловым
вирусом, заражающим как COM- так и EXE-файлы. При запуске
зараженной програмы вирус проверяет значения ряда прерываний,
включая 1 и 3. Если прерывания 1 и 3 перехвачены, то вирус не
инсталлируется в оперативной памяти, а запускает программу
вирусоноситель и после ее окончания вызывает зависание системы.
Если указанные прерывания свободны, то вирус инсталлируется,
уменьшая значения свободной памяти на 1072 байта и перехватывая
ряд прерываний Являясь резидентным вирус заражает каждую
выполняемую программу имеющую длину больше 1024 байта. Увеличение
длины маскируется при резидентном вирусе. Вирус дописывается в
конец зараженных файлов. Файлы заражаются однократно. В конце
зараженных файлов имеется строка '7106286813'. Вирус, по видимому,
не имеет стадии проявления.
Исторические замечания. Вирус был обнаружен в Болгарии в мае
1990. На Запад передан В.Бончевым. Приведенные сведения основаны
на описании П.Хоффман.По-видимому разработан в Софии техно-крысой
называющей себя Dark Avenger. По ряду признаков его можно считать
предшественником RCE-02000.
Неформальные названия.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версии 66.
6.3.1.4. Вирус RCE-02100
Формально данный вирус является резидентным файловым вирусом,
заражающим как COM-, так и EXE-файлы, включая оверлеи. Заражает
COMMAND.COM. При выполнении зараженной вирусом программы вирус
инсталллируется, уменьшает системную память на 4288 байтов, а
затем заражает командный процессор. Заражает программы при
выполнении или открытии файла. Минимальная длина заражаемой
программы - 2100 байтов. Увеличение длины при резидентном вирусе
маскируется. Как обычно, при резидентном вирусе появляется
побочный эффект, связанный с появлением потерянных кластеров при
проверке целостности файловой системы командой CHKDSK /F
Исторические замечания. Вирус был обнаружен в Болгарии в июле
1990. Распространялся через троянскую версию антивирусной
программы UScan, которая была загружена в несколько европейских
BBS. При этом наличие вируса в самой программе было замаскировано
и его было невозможно обнаружить детектором, рассчитанным на
данный вирус. Приведенные сведения основаны на описании П.Хоффман.
По-видимому, разработан в Софии техно-крысой, называющей себя Dark
Avenger.
Неформальные названия. 2100, UScan Virus
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.3.2. Вирус RC-1701p (Phoenix - Феникс)
Несмотря на идентичную длину вирус не связан с группой Буквопад.
Формально данный вирус представляет собой файловый резидентных
вирус, заражающий COM-файлы и имеющий специальный механизм
инфицирования COMMAND.COM. Инсталллируется в старшие адреса
свободной памяти, резервируя 8192 байта. Перехватывает прерывание
2A. Ищет в корневом каталоге текущего диска COMMAND.COM и заражает
его не увеличивая длины (тело вируса записывается в область с
нулевыми байтами. Затем выполняет ту же операцию на диске С (на
случай, если текущий диск является электронным). Заражает COMфайлы,
увеличивая их длину на 1701 байт. Проверка файла на
зараженность выполняется некорректно, поэтому вирус может повторно
заражать один и тот же файл, каждый раз увеличивая длину на 1701
байт. Инфицируются файлы как при выполнении, так и при открытиии.
При попытке выполнить утилиту CHKDSK на зараженной системе
инициируется теплая перезагрузка системы. Использует сложный метод
шифровки тела, включая самомодификацию инсталлятора, поэтому
детекторы основанные на поиске контексных строк не в состоянии
обнаружить данный вирус. Имеет ряд штаммов.
Исторические замечания. Вирус был обнаружен в Болгарии в июле
1990. На Запад был передан В.Бончевым. Приводимые сведения
основаны на описании П.Хоффман. По-видимому, разработан в Софии.
Неформальные названия. V1701New, P1
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.4. Файловые вирусы восточного происхождения
6.4.1. Вирус RCE-2064 (Wolfman)
Формально данный вирус является резидентным файловым вирусом,
заражающим как COM-, так и EXE-файлы, включая оверлеи. Заражает
COMMAND.COM. При выполнении зараженной вирусом программы вирус
инсталллируется, резервируя в младших адресах свободной памяти два
блока памяти один размером 68032, а другой - 4544 байта. Таким
оразом общий размер свободной памяти уменьшается на 72640 байтов.
Вирус перехватывает прерывания 09, 10, 16, 21, 2F, ED и F5.
Заражает программы при выполнении файла. Минимальная длина
заражаемой программы - 2064 байта. при заражении COM-файлов тело
вируса дописывается в начало файла, а при заражении EXE-файлов в
конец. Проявления вируса неизвестны.
Исторические замечания. Вирус был обнаружен на Тайване в июле
1990. Приводимые сведения основаны на описании П.Хоффман. Повидимому,
разработан в Тайбее.
Неформальные названия. Помимо приведенных выше неизвестны.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.4.2. Вирус C-743 (Taiwan-2)
Формально данный вирус является нерезидентным файловым вирусом,
заражающим COMMAND.COM. При выполнении зараженной программы вирус
предпринимает попытку заразить три COM-файла. поиск начинается не
с текущего каталога, а с корневого каталога диска С. Заражение
выполняется путем дописывания кода вируса в начало файла. При этом
первые743 байта программы переписываются в конец. Из-за ошибки в
коде вируса при заражении программ, меньших 743 байта зараженная
програма будет всегда иметь длину 1486 байтов. Фаза проявления
наступает на восьмой день любого месяца. В этот день при запуске
любой зараженной программы вирус выполняет попытку записи первых
160 секторов на дисках С и D, начиная с сектора 0.
Исторические замечания. Вирус был обнаружен на Тайване в январе
1990. Приводимые сведения основаны на описании П.Хоффман. Повидимому,
разработан в Тайбее.
Неформальные названия. Помимо приведенных выше неизвестны.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.4.3. Вирус RCE-2900 (Taiwan-3 - Тайвань-3)
Неформальное название отражает порядковый номер поступления
вирусов с Тайваня к сотрудникам Макафи (первыми двуми были
Дисккилллер и C-743 (Taiwan-2)). По своей структуре вирус не
связан с вирусом С-743. При запуске зараженной программы вирус
инсталлируется в нижние адреса свободной оперативной памяти
резервируя 3152 байта. Перехватывает прерывание 21. Являясь
резидентным, заражает все исполняемые программы. По данным
П.Хоффман COM-файлы увеличиваются на 2900 байтов, а EXE-файлы на
2900-2908 (скорее 2900-2915). Заражаются и оверлейные файлы.
Проявления неизвестны.
Исторические замечания. Вирус был обнаружен на Тайване в июне
1990. Приводимые сведения основаны на описании П.Хоффман.
Неформальные названия. Помимо приведенных выше неизвестны.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.4.4. Вирус RCE-4096 (Plastique)
Формально данный вирус является резидентным файловым вирусом,
заражающим как COM-, так и EXE-файлы, включая оверлеи. Не заражает
COMMAND.COM. При выполнении зараженной вирусом программы вирус
инсталлируется, резервируя в младших адресах свободной памяти 5120
байтов. Вирус перехватывает прерывания 08, 09, 13, 21 и ED.
Заражает программы при выполнении и открытии файла. Длина
зараженных файлов увеличивается на 4096 байтов. Проявления вируса
неизвестны.
Исторические сведения. Вирус обнаружен в июле 1990 г. на Тайване
и, по-видимому, разработан там же. Имеется ранний неотлаженный
штамм - RCE-3012 (Plastique)
Неформальные названия. Plastique-B, Plastique 5.21, Plastic
Bomb,
Средства обнаружения и защиты. Детектируется Scan (версии 66+).
6.5. Некоторые "ископаемые" файловые вирусы
Ряд вирусов, ранее весьма распространенных на Западе, в
настоящее время практически полностью уничтожен и сведения о них
представляют, в основном, исторический интерес. Впрочем последняя
фраза не совсем корректна, поскольку необходимо помнить, что любой
компьютерный вирус практически "безсмертен" и может
"реанимироваться" из архивов через несколько лет после того как о
нем все забыли.
6.5.1. Вирус RC-0-346 (Lehigh - Лехайский)
Название вируса связано с тем, что он впервые был обнаружен в
университете Lehigh (США) в ноябре 1987 г. В настоящее время
вирус, по-видимому, относится к "ископаемым" и представляет лишь
исторический интерес как один из первых файловых вирусов, а также
как первый (и один из немногих) вирус, специализированный на
заражении определенного файла. Формально вирус RC-0-346 является
файловым резидентным вирусом, распространяющимся через файл
COMMAND.COM (командный процессор MS DOS). Иногда данный вирус
называют "системным вирусом", акцентируя внимание на том, что он
заражает только командный процессор. По мнению автора, такое
название неоправданно, так как хотя командный процессор и является
неотъемлемой частью операционной системы, его выбор, в отличие от
распространенного мнения, произволен. Конечно стандартный
командный процессор, поставляемый с MS DOS (COMMAND.COM) и
является наиболее распространенным, однако он не является
единственным используемым. Например, ряд фирм, включая Хьюллет
Паккард, поставляют свои версии MS DOS c диалоговым командным
процессором, и пользователи этих машин никогда не сталкивались с
COMMAND.COM и характерным приглашением C:\. Кроме того, учитывая
весьма низкое качество написания COMMAND.COM (а в четвертой версии
MS DOS он не только плохо написан, но и еще "страдает от
ожирения", т.к. его размер вырос более чем на 10К без
существенного увеличения функциональных возможностей)
квалифицированные пользователи часто заменяют его на командный
процессор 4DOS фирмы J.P. Software. Поэтому выбор COMMAND.COM как
"среды обитания" вируса ничем принципиально не отличается от
выбора, скажем, Norton Commander или другой распространенной
программы.
Вирус имплантирует свое тело в область памяти, используемую
COMMAND.COM для стека и изменяет первые байты зараженного
COMMAND.COM таким образом, чтобы первым получить управление после
его загрузки. Поэтому длина зараженного COMMAND.COM не отлич
...Закладка в соц.сетях
