При запуске проверяют версию DOS
Неопасные резидентные "стелс"
-полиморфик
-вирусы. При запуске проверяют версию DOS (работают только под DOS 5.0 и выше) и копируют себя в UMB-память. Если таковая отсутствует, то копируют себя в обычную память, корректируя MCB-блоки. Затем вирусы трассируют INT 21h: перехватывают INT 06h (undefined opcode), выделяют блок XMS-памяти, копируют туда код и данные DOS, стирают DOS байтами FFh и вызывают INT 21h. При вызове этого прерывания управление передается по цепочке команд в область DOS (через резидентные программы, перехватившие INT 21h). Цепочка команд обрывается в DOS, поскольку процессор не может выполнить инструкцию FFFFh (она отсутствует в списке команд процессора Intel), в данном случае процессор вызывает INT 06h. Вирусы перехватывают этот вызов и запоминают адрес, откуда он пришел (а это есть в точности адрес DOS'овского обработчика INT 21h). Затем вирусы восстанавливают код DOS (копирует его назад из XMS) и освобождают блок XMS. Вирусы перехватывают INT 21h, кроме того "MTZ.Pink.4510" перехватывает INT 25h, а "MTZ.Pink.5081" - INT 13h. Перехват INT 21h используется для заражения файлов и "стелс"-механизма, INT 13h/25h - для организации "стелс"-механизма на уровне INT 13h/INT 25h. Файлы поражаются при вызове функций запуска и закрытия файлов. Вирусы поражают только EXE-файлы и записываются в их конец. Вирусы содержат строки:
"MTZ.Pink.4510": - The Pink Panther - (c) MTZ Sept. 1993 Italy
"MTZ.Pink.5081": - The Pink Panther 2 (*The Last One*) - (c) MTZ '1 Jan 1994' Italy Dedicated to Federica! [MTZ 1994]
31-го декабря "MTZ.Pink.5081" выводит этот текст на экран.
Демонстрации вирусных эффектов:
|
mtz.com |
