152243e4

Перехватывают INT 8, 13h, 21h.


Перехватывают INT 8, 13h, 21h. При создании новых COM- и EXE-файлов запоминают их handle и заражают их при закрытии, в результате обходят CRC-сканеры. Как и некоторые предыдущие версии, эти вирусы шифруют свой TSR-код, записывают в таблицу векторов прерываний код процедуры шифрования/расшифровки и вызывают ее при необходимости. Если имя файла-носителя содержит символы: EB, NF, VP, VT, ST или EW, вирус "MAD.5054" портит имя файла в области Environment. Таким способом вирус блокирует антивирусную самопроверку, и программа не может определить свое имя на диске. При запуске зараженного файла вирус также проверяет командную строку и, если обнаруживает параметр "/!" ("MAD.5054") или "/?" ("MAD.4268"), записывает в буфер клавиатуры строку "MAD". Вирус использует перехват INT 13h для шифрования/расшифровки загрузочных секторов дискет при обращениях к ним. В результате информация на дискетах оказывается доступной только в зараженной системе. При вызовах INT 8 вирус подсчитывает CRC своего обработчика INT 21h и вешает систему, если CRC не совпадает. В каких-то случаях вирус "MAD.4268" выводит текст и ждет ввода с клавиатуры:

Your version of MAD outdate.Upgrade?

Если нажата клавиша 'Y', вирус стирает MBR винчестера и выводит тексты:

Please Wait! Cured Your system... Hо...абсолютно спокойны Вы можете быть, если ежедневно пользyетесь пpогpаммой FORMAT.COM

Затем вирус записывает в C:\AUTOEXEC.BAT команды форматирования винчестера:

@echo Press Y for continue cured.... @echo off c:\dos\format.com c: >null echo on @echo Hад вами издевался виpyс MAD...

7 ноября вирус "MAD.5054" стирает CMOS, сектора винчестера и выводит текст:

Seventh November - black day of a calendar...

Портит архивы RAR: записывает вместо опознавателя "Rar!" строку "Mad!". При чтении из такого архива подставляет "Rar!", в результате чего архивы распаковываются только в зараженной системе. Вирусы также содержат строки:

"MAD.4268":

MAD 1.6 Copyright by Black Angel 24-09-96 : ...continue conversation... Mutation Engine for Mad [MEM 1.0]

"MAD.5054":

Small Random Decoder for Mad [SRDM 0.0 beta] EBNFVPVTSTEW [MAD 1.8] (C)opy(R)ight by Black Angel from DesTroY Gr0uP : It BEGAN...! Mutation Engine for Mad [MEM 1.1]


Содержание раздела