Alicia


Опасный резидентный полиморфик

-вирус. Перехватывает INT 21h и записывается в конец обнаруженных COM- и EXE-файлов. При перехвате INT 21h правит код первоначального обработчика INT 21h: записывает в него команду перехода на свой код. Размножается при поиске файлов в каталоге (FindFirst/Next). Также дописывает свой "дроппер" (зараженный файл-пустышку) в обнаруженные файлы-архивы. Имя дроппера выбирается случайным образом, например (все имена полученные экспериментальным путем):

HDBK.COM, HDNK.COM, HDDK.COM, HDOK.COM, HDPK.COM, KDHD.COM

Архивные файлы вирус определяет по расширениям. Список расширений инфицируемых архивов выглядит следующим образом: ZIP, ARJ, RAR, ACE, HA, ARC, PAK, LZH, LHA, ZOO. При заражении архивов вирус самостоятельно разбирает их внутренний формат и создает новые блоки данных. Всего вирус обрабатывает 8 различных типов архивов: ZIP, ARJ, RAR, ACE, HA, PAK/ARC, LZH/LHA, ZOO (через "слеш" указаны архивы, использующие один и тот же формат).

В проведенных тестах не удалось заразить архивы PAK/ARC. При извлечении дроппера из LZH/LHA архива происходило зависание программы-архиватора. С остальными зараженными архивами никаких проблем не возникало.

При запуске инфицированного файла 24 мая или если запущен файл-дроппер, то вирус показывает поочередно большие мигающие буквы в центре экрана:

A l i c i a # Version Gamma 0 . 1 # by Star0 I K X In honor of B0z0 ikx



Содержание раздела