Virus "Paštika"

Paštika je nový virus českého původu o délce 2 049 bajtů. Jedná se o multipartitní polymorfní virus, napadající so...


Paštika je nový virus českého původu o délce 2 049 bajtů. Jedná se o
multipartitní polymorfní virus, napadající soubory s extenzí COM, které
infikuje přímou akcí. Připojuje se na konec napadených souborů a je schopen
napadnout i soubory s atributem Read Only. Nemění datum a čas napadených
souborů. Kromě toho napadá tento virus také boot sektor disket a pevných disků.
V případě aktivace z boot sektoru disku nebo diskety si virus přesměruje
přerušení INT 13h. Nedovolí přepsat boot sektor a při jeho čtení se maskuje.
Pouze v tomto případě zůstává rezidentní v paměti. Virus nepoužívá stealth
techniky, ale přesto se jedná o virus s vysokým stupněm nebezpečnosti.
Aby zůstal neodhalen, používá virus Paštika 2 kódovací smyčky pro zmatení
heuristiky, např. porovnává hodnotu reálných hodin (BIOS proměnná 46Ch). Dalším
úhybným manévrem je testování přítomnosti antivirových programů. Při spuštění
napadeného souboru virus nejprve změní aktuální logický disk na C: a hledá zde
soubor AVG*.GRS. Pokud ho najde, smaže jej. Stejně tak nakládá se soubory
C:DOSVSAFE.COM a C:AGUARD.DAT. Pokud virus detekuje antivirový program
VSAFE, ukončí činnost a spustí hostitelský program.
V případě, že nehrozí nebezpečí ze strany výše zmíněných produktů, testuje
virus hodnotu velikosti konvenční paměti. Pokud je tato hodnota 640 KB a systém
tedy zatím není napaden žádným boot sektorovým virem ani Paštikou testuje virus
systémový čas, konkrétně počet minut. Pokud je tento právě roven 11, napadne
virus boot sektor pevného disku a skončí bez spuštění hostitelského programu.
Stejně tak, jako je napadení boot sektoru disku závislé na čase, tak je
následující akce závislá na aktuálním datu. Pokud máte štěstí a není zrovna 21.
nebo 22. den v měsíci, projde Paštika několik adresářů a napadne soubory s
extenzí COM. Přitom v daném adresáři maže soubory CHECKLIST.MS a VSAFE.COM,
po-kud jsou zde přítomny. Potom virus spustí hostitelský program. Ovšem v
případě, že je zrovna den D, začne Paštika mazat váš pevný disk. Nejprve smaže
cylinder 0 prvního fyzického disku, poté se pokusí smazat stopu 1 disketové
mechaniky A: a nakonec smaže stopu 1 druhého fyzického disku. Potom virus
skončí v nekonečné smyčce, ve které vždy vypíše: "Jindra&Pastika je zde!!!" a
pokračuje v mazání dalšího cylindru prvního pevného disku.
Při práci s disketovými mechanikami je virus infikuje stejně jako MBR pevného
disku. Po napadení 100 disket virus smaže 17 sektorů od boot sektoru pevného
disku i diskety dále. Po smazání skončí v nekonečné smyčce, ve které se z
počítače ozývá pípání. Pokud virus nenapadl boot sektor pevného disku,
pokračuje v činnosti testováním data. Virus lze detekovat a čistit pomocí
programu AECCLN2.EXE.
8 0795 / Maf









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.