152243e4

MidInfector, семейство


Безобидные резидентные вирусы. Перехватывают INT 21h и записываются в конец запускаемых COM-файлов. "MidInfector.760,765" содержат строку:

MidInfector by Dark Slayer of [TPVO]

При заражении записывают команду "JMP VirusCode" в середину файла: считывают файл в память, дизассемблируют его код (вирусы содержат в себе примитивный дизассемблер) и "идут" по коду файла до тех пор, пока не наткнутся на команду вызова прерывания, условную передачу управления (Jcc), FAR JMP/CALL и некоторые другие. По тому адресу, где произошла остановка дизассемблера, вирусы записывают команду JMP, передающую управление на тело вируса.



Содержание раздела