Wirusy dyskowe i plikowe
Angelina
Krajowy wirus boot_sektora dyskietek i tablicy partycji dysków twardych.
Należy do wirusów ukrywających się, czyli na komputerze z rezydującym w
pamięci wirusem nie uda się go wykryć na dysku.
Po załadowaniu systemu z zainfekowanego dysku, wirus umieszcza swój kod
w ostatnim 1KB pamięci operacyjnej (poniżej 640KB), zmniejszając
uprzednio o tyle wielkość pamięci dostępnej dla BIOS/DOS'u. Wirus
przejmuje obsługę przerwania 13h i odtąd infekuje każdy dysk w momencie
odczytu jego pierwszego sektora lub dostarcza oryginalną zawartość tego
sektora, o ile już jest zainfekowany. Kod wirusa mieści się w nowym
boot-sektorze, a oryginalna jego zawartość przepisywana jest do 2
sektora dysku twardego, lub do ostatniego sektora katalogu głównego
dyskietki.
Ping-Pong
Wirus ten jest przedstawicielem wirusów, które nie zarażają programów,
lecz całe dyski. Wirus rezyduje na dysku, w obszarze boot-sektora oraz
1KB obszarze na dysku oznaczonym w tablicy FAT jako miejsce o
uszkodzonym nośniku. Aktywizacja wirusa następuje w momencie ładowania
systemu operacyjnego z zarażonego dysku. Zanim zostanie załadowany
system, wirus instaluje się w pamięci komputera i przejmuje obsługe
operacji dotyczacych dysków. Począwszy od tego momentu, każda operacja
wykonana na dysku, wystarczy dotycząca go dyrektywa DIR, czy nawet
uczynienie go dyskiem aktualnym, powoduje zarażenie niezależnie czy
jest to dysk twardy, czy dyskietka. Dodatkowo, podczas każdej operacji
odczytu z dysku sprawdzany jest stan zegara systemowego. W wypadku
spełnienia pewnych warunków aktywizowana jest procedura inicjujaca efekt
odbijającej się na ekranie piłeczki (współbieżnie z normalną praca).
Opcja Demo prezentuje ten włąśnie efekt.
Istnieje wersja tego wirusa, prowadząca licznik generacji. Egzemplarz
wirusa znajdujący się w moich zbiorach przeszedł przez 26 komputerów.
Świadczy to o dużej żywotności tego wirusa.
Yankee 22 (TP-34)
Yankee 27 (TP-39)
Yankee 2C (TP-44)
Yankee 2D (TP-45)
Jest to rodzina około 50 bułgarskich wirusów, zwanych również od
inicjałów autora "TP". W Polsce grasują numery 16 (Vacsina),
34, 39, 44 i 45.
Wirus instaluje się w pamięci komputera i z niej zaraża wszystkie
uruchamiane' od tego momentu programy - zarówno zbiory *.EXE jak i
*.COM.
Wirus napisany jest w sposób trudny do zanalizowania, a wieksza cześć
jego kodu służy uniemożliwieniu śledzenia przez debugger. Między innymi
zawiera w sobie sumy korekcyjne umożliwiające mu przywrócenie
oryginalnej wartości zmienionym (na przykład przez ustawianie pułapek
przez debugger) bajtom wewnątrz swojego kodu, sprawdzane 18.5 raza w
ciągu sekundy.
Przed zarażeniem wirus sprawdza, czy infekowany program nie jest już
zarażony' starszą wersją wirusa. Jeśli tak - odkaża program, likwiduje
jego część rezydującą i dopiero wtedy infekuje. Wirus monitoruje również
odwołania do DOS'u i przy pewnej kombinacji wartości rejestrów zmienia
swój stan na taki, w którym zamiast zarażać, leczy programy zarażone
przez siebie oraz swoje wersje o niższym numerze (program MkS_vir
przestawia go w ten tryb, jeżeli znajdzie go zainstalowanego w pamięci).
Około godziny 17:00 (ale nie zawsze, muszą być spełnione jeszcze
dodatkowe warunki), ujawnia swą obecność wygrywaniem melodyjki, która
jest źródłem nazwy wirusa (możesz jej wysłuchać wybierając opcję Demo).
Capital_Letter.927
Jest to szyfrujący swój kod, rezydujący wirus zbiorów typu COM. Typ
zbioru określany jest przez wirusa na podstawie zawartości zbioru, a nie
jego nazwy. Wirus lokuje się na końcu zbioru, powiększając go o 927
bajtów. W DOS-ie 1.x wirus nie ujawnia się.
W pamięci wirus wygospodarowuje dla siebie obszar zmniejszając o 1952
bajty ostatni blok pamięci (ale nie zmieniając informacji o wielkości
pamięci zawartej w BIOS'ie).
Stupid 992
Prosty, nierezydentny wirus plików COM. Zarażane pliki powiększa o
992 bajty i zmienia im czas i datę utworzenia na bieżące w chwili
infekcji.
Wirus wykorzystuje na swoje obszary robocze fragmenty pamięci o
stałych offsetach, nie kontrolując czy jest to bezpieczne. W pewnych
przypadkach może to prowadzić do zawieszania systemu operacyjnego.
Autor wirusa przewidział dodatkowy efekt specjalny polegający na
miganiu lampek klawiatury i przekłamywaniu stanu klawiszy specjalnych
(Ctrl, Alt i Shift). Robi to przez przejęcie wektora INT 1Ch, które
nie zwalnia mimo, że sam nie jest rezydentny. Zazwyczaj po
zakończeniu pracy programu nosiciela będzie to prowadzić do
zawieszenia systemu operacyjnego.
Przeczytaj podobne teksty
Czas czytania: 4 minuty
Treść zweryfikowana i sprawdzona
Zgodnie z misją, Redakcja serwisu dokłada wszelkich starań, aby dostarczać rzetelne i sprawdzone treści edukacyjne.
Dodatkowe oznaczenie "Sprawdzona treść" wskazuje, że dany materiał został zweryfikowany przez Redakcję lub ekspertów współpracujących z serwisem.
Weryfikacja tekstu odbywa się na następujących poziomach:
1. Sprawdzenie tekstu pod kątem ewentualnych błędów ortograficznych, stylistycznych, interpunkcyjnych lub innych.
2. Weryfikacja tekstu pod kątem błędów rzeczowych.
3. Sprawdzenie materiału pod kątem ich aktualności.
Dodatkowe oznaczenie "Sprawdzona treść" wskazuje, że dany materiał został zweryfikowany przez Redakcję lub ekspertów współpracujących z serwisem.
Weryfikacja tekstu odbywa się na następujących poziomach:
1. Sprawdzenie tekstu pod kątem ewentualnych błędów ortograficznych, stylistycznych, interpunkcyjnych lub innych.
2. Weryfikacja tekstu pod kątem błędów rzeczowych.
3. Sprawdzenie materiału pod kątem ich aktualności.