и записывает вместо этого кода
и записывает вместо этого кода байты FFFFh. Если такая процедура получает управление, процессор генерирует INT 6 (Unknown Opcode), управление перехватывается обработчиком INT 6 в вирусе, который восстанавливает этот код и возвращает управление прерванной процедуре. В результате такие файлы практически невозможно вылечить, но они остаются работоспособными под зараженной системой, если не установлены memory managers типа QEMM. Если установлен QEMM или аналогичная утилита управления памятью, то вирус не получает управления по INT 6. Для того чтобы защитить свой TSR-код от деактивации, вирус подсчитывает CRC-суммы трех своих основных процедур (заражение, INT 9 и INT 21h) и при каждом вызове INT 1Ch проверяет их. Для того чтобы защитить код своего обработчика INT 1Ch вирус хранит его "backup"-копию и при каждом вызове INT 9 сравнивает "backup" с оригиналом. Под отладчиком или в том случае, если не сошлись CRC-суммы, вирус стирает CMOS, пищит спикером компьютера и завешивает систему. При инсталляции вирус проверяет тип процессора и, если процессор ниже 386, выводит текст:
386 or later processor missing. Please replace processor, then press any key...
Также иногда сообщает:
Warning : This file is infected by Apparition !
Также содержит строки:
Here I am, can you see me Passing through, on my way To a place I'd been to only in my dreams ...before *.COM *.EXE C:\RUSSIAN.FNT **************** THE APPARITION THE APPARITION II Multi Layer Coder v 2.00. Jul '96
