Virus Kate

Laik žasne, odborník se diví. V době složitých polymorfních a 32bitových virů vzniká virus, který by vzbuzoval resp...


Laik žasne, odborník se diví. V době složitých polymorfních a 32bitových virů
vzniká virus, který by vzbuzoval respekt snad někdy před pěti lety. Jedná se o
jednoduchý virus Kate, jehož délka je 585 bajtů.
Infiltrace
Virus je schopný infikovat pouze spustitelné soubory s příponou COM, na jejichž
konec se připojuje. Tyto také prodlužuje o svou délku, tj. o 585 bajtů. Virus
je samozřejmě schopen infikovat také soubory s atributem "read only" a u
nakažených souborů nedojde ke změně data a času poslední modifikace. Zda si už
někdo spustil na svém počítači infikovaný program, zjišťuje virus voláním
přerušení INT 21h s hodnotou 994Dh v registru AX. Pokud je virus aktivní, vrací
tato služba hodnotu 4Bh v registru AL.
Množit, množit, množit
Po instalaci do paměti se virus zavěšuje na přerušení služeb DOSu INT 21h. Zde
filtruje služby s čísly 4Bh a 3Dh, tedy otevírání a spuštění souboru. Při
těchto akcích se virus pokusí napadnout manipulovaný soubor. Pokud je ovšem
tento větší než 64 615 bajtů, nebude virem infikován. Nebudou napadeny ani
soubory, jejichž den vytvoření je shodný s aktuálním dnem v měsíci.
Projevy a léčba
Virus se projevuje stejně primitivně, jako je napsán. Po spuštění či otevření 8
192 souborů virus restartuje počítač. Tento čítač se však u napadených souborů
může lišit. Virus obsahuje ve svém kódu viditelný text, který však nikdy
nevypisuje: "KATE 1996 (c) ORIEL software company." Virus lze spolehlivě
odhalit a vyčistit programem AECCLN2. Vyhledávací řetězec: "58 59 51 50 E8 00
00 B8 4D 99 CD 21"
8 0559 / Maf









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.