Michael, семейство


Очень опасные резидентные загрузочные вирусы. Занимают 600h байт и располагаются на флоппи-диске двумя блоками: первый блок - в загрузочном секторе, второй - в последних секторах корневого каталога диска. При загрузке с зараженного диска вирус считывает свою вторую часть, перехватывает INT 8, 13h, а затем записывается в загрузочные сектора дискет при обращениях к ним. Вирус заражает MBR винчестера при загрузке с зараженной дискеты: исправляет адрес активного загрузочного сектора на 0/0/3 (трек/сторона/сектор), а затем записывает свое тело по этому адресу. При заражении ищет на дисках вирус "Stoned" и лечит его. Если во время инсталляции вируса в память при считывании второй части вируса происходит ошибка, то вирусы расшифровывают и выводят тексты:

"Michael.a": System halted "Michael.b": BIOS fatal error. System halted...

Затем они завешивают компьютер. При инсталляции вирусы проверяют системную дату и 29 июля расшифровывают и выводят текст:

July 29 today...

и перехватывают INT 9. При нажатии на Alt-Ctrl-Del стирают MBR и выводят тексты:

"Michael.a": Happy birthday, MICHAEL ! "Michael.b": Happy birthday, B..... M...... !

"Michael.a" портит EXE-файлы, написанные на Borland C и затем запакованые LzExe. Помимо перечисленных выше вирусы содержат зашифрованные строки:

"Michael.a": Oh, sectors... I like to move it! My name is July29! "Michael.b": v3.1



Содержание раздела