Virus POKUS13

Virus Pokus13 je rezidentní infektor spustitelných souborů s extenzí EXE a COM. Délka viru je 2 077 bajtů. Virus je poly...


Virus Pokus13 je rezidentní infektor spustitelných souborů s extenzí EXE a COM.
Délka viru je 2 077 bajtů. Virus je polymorfní a pokud je aktivní v paměti,
ukrývá změny, které v systému napáchal. Při instalaci do paměti virus obsadí 4
732 bajtů a zavěsí se na přerušení služeb DOSu INT 21h. Zjistit přítomnost viru
v paměti je možné voláním přerušení INT 21h s hodnotou FEABh v registru AX.
Aktivní virus vrací v registru AX hodnotu 1234h.
Virus je schopen infikovat soubory s příponou COM a EXE, přičemž se vyhne EXE
souborům o délce větší než 384 KB a taktéž nenakazí soubory, jejichž jména
končí na skupinu znaků DPMI, RTM nebo WIN. Při provádění stealth technik
využívá virus ke kontrole, zda je prohlížený soubor napaden či nikoliv, časovou
značku nastavuje sekundy poslední změny na hodnotu 62. Stealth techniky viru
jsou schopny ukrýt prodloužení napadených souborů, nastavení sekund poslední
modifikace na 62 a taktéž obsah napadených programů. Z důvodu dezinfekce
souborů za letu musí mít virus snadno dostupné informace o hostitelských
programech. Tyto údaje jsou uloženy zakódované na konci těla viru a proto není
čištění viru obtížné. Virus si označuje infikované soubory, kromě nastavení
časové značky na hodnotu 62 sekund, také uložením kontrolního slova 484Dh u
souborů s příponou EXE je tato hodnota uložena v jejich hlavičce na místě
kontrolního součtu a u COM souborů na čtvrtém offsetu od začátku souboru.
Virus používá sadu antitrasovacích technik pro ztížení analýzy. Své tělo
dekóduje pomocí tří kódovacích smyček. První smyčka při každém průchodu
přepisuje instrukci na svém konci, čímž se snaží znemožnit její provedení naráz
a vynutit si tak zdlouhavé krokování jednotlivých instrukcí. Přechod na druhou
kódovací rutinu je proveden přes zásobník, čímž virus kontroluje, zda není
krokován debuggerem, protože ten by data na zásobníku při krokování přepsal.
Třetí kódovací smyčka je vyvolána po jejím zavěšení na INT 5 (přetečení mezí) a
následném vyvolání této výjimky. Tento zajímavý virus se nijak neprojevuje.
8 0417 / Maf









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.