MAD.Morose
При заражении системы записывает свой код в неиспользуемые сектора нулевого трека винчестера, копирует часть (231 байт) своего обработчика INT 21h в область данных DOS, устанавливает на этот адрес INT 21h и возвращает управление программе-носителю. В результате код вируса занимает всего 231 байт, скрытых в ядре DOS. При необходимости вирус считывает свой код с винчестера в свободую область памяти. Перехватывает единственную функцию DOS - Get DOS Version (AH=30h). При таких вызовах вирус определяет имя активной программы и заражает ее. Записывается в середину COM-файлов и в конец EXE-файлов. Не заражает файлы с именами: *EB, *ST, *86, *NF, *VP, *AN. При заражении COM-файлов портит их: заменяет в них вызовы INT 21h на INT CCh. Для того чтобы сохранить их работоспособность, вирус устанавливает INT CCh на INT 21h при заражении памяти. В результате зараженные (так же, как и вылеченные) файлы работают только под зараженной системой. В январе вирус заражает файлы другим способом: записывает в их конец несложный нерезидентный COM-вирус "MiniMad". Однако при каждом таком заражении вирус "MAD.Morose" генерирует новый вариант кода, используя свой полиморфик-генератор. В результате при каждом подобном заражении COM-файлы оказываются зараженными различными COM-вирусами различной длины. В дальнейшем эти COM-вирусы не мутируют. Под отладчиком вирус стирает MBR винчестера. 31 декабря стирает CMOS и выводит текст:
I am DEAD M0R0SE
Также содержит строки:
>>> The MaDesTr0yeR <<< aka [DEAD M0R0SE] version BETA TEST Distribution & Copyright by Black Angel 1996 >Destroy Gr0up is down...!!!< >HЕТУ И HЕБЫЛО DESTROY GR0UP!< EBST86NFVPAN MiniMad 2.0 BETA! [c]Black Angelay
