ArjVirus


Опасный нерезидентный вирус-червь (worm). Ищет архивные файлы *.ARJ и добавляет в них свою копию. Ищет ARJ-файлы в текущем и во всех родительских каталогах. Если архивный файл найден, вирус создает временный файл-червь с расширением .COM и случайно выбранным именем, например BHPL.COM, NLJJ.COM, OKPD.COM и т.д. Длина имени равна четырем байтам. Затем вирус записывает себя в этот файл, добавляет мусор (чтобы файл-червь был различной длины в разных случаях поражения архивов). Этот файл-червь добявляется к тем файлам, которые уже упакованы в обнаруженном архиве. Вирус делает это при помощи самого архиватора ARJ: запускает копию процессора COMMAND.COM с указанием имени файла для выполнения. Строка, которая передается функции EXEC, выглядит следующим образом:

c:\command.com /c arj a <arj-file> <filename>.com

где 'a' - параметр архиватора ARJ.EXE, при этом файл будет добавлен к уже упакованным файлам. <arj-file> - имя обнаруженного файла-архива, <filename> - имя файла-червя. Параметр "/c" предписывает командному процессору COMMAND.COM выполнить указанный файл (ARJ.EXE) и отдать управление вызвавшей программе. Затем вирус уничтожает временный файл и ищет следующий ARJ-файл. Если таковых больше нет, вирус возвращается в DOS.




Начало  Назад  Вперед