в системной памяти. Активно использует
Опасный резидентный полиморфик
-вирус. Зашифрован как в файлах, так и в системной памяти. Активно использует 386-е инструкции и работает только на процессорах 386 и выше. Использует большое количество антиотладочных приемов, часть которых основана на особенностях процессора i386. При запуске зараженного файла вирус расшифровывает свой код несколькими полиморфик-циклами и инсталлируется в системную память. Для противодействия отладчикам вирус временно перехватывает INT 1, 6, 0Dh, 34h и выполняет несколько довольно сложных анти-отладочных процедур. Вирус также ищет в памяти какую-то программу (резидентный антивирус?) и правит ее код. Затем вирус освобождает прерывания, перехваченные до того, выделяет себе блок памяти, копирует туда свой TSR-код, перехватывает INT 6, 9, 10h, 1Ch, 21h, 2Fh, 77h и остается резидентно в памяти. Перед тем как возвратить управление программе-носителю, вирус ищет COM- и EXE-файлы и заражает их. Вирус перехватывает INT 10h, но никак его не использует. INT 77h используется только для определения своей TSR-копии и предотвращения повторного заражения памяти. Перехват INT 2Fh используется для детектирования вызова MS-Windows AX=1605h, в этом случае вирус удаляет себя из памяти. Перехватывает несколько функций INT 21h. При вызове Keep (AH=31h) вирус "присоединяет" свой код к программе, которая остается резидентной. При вызове Execute (AX=4B00h) вирус заражает запускаемый файл. При вызове ChangeDir вирус ищет COM- и EXE-файлы и заражает их. При запуске файла LOGIN.EXE вирус активизирует свою процедуру взлома паролей: запоминает символы, вводимые с клавиатуры (для этого вирус перехватывает INT 9). Затем вирус сохраняет их в файл C:\RUSSIAN.FNT при окончании работы LOGIN.EXE (INT 21h, AH=4Ch). Вирус записывает себя в COM- и EXE-файлы длиной меньше 55K. Не заражает файлы: COMMAND.COM, *HIEW.EXE и *EB.EXE. При заражении EXE-файлов конвертирует их в формат COM. При заражении файлов вирус ищет в их коде заголовки C/Pascal-подпрограмм:
55 PUSH BP 8B EC MOV BP,SP
