Virus ZOOL

Jedná se o jednoduchý rezidentní infektor souborů s příponou COM a EXE. Vzhledem ke své délce 658 bajtů se řadí k v...


Jedná se o jednoduchý rezidentní infektor souborů s příponou COM a EXE.
Vzhledem ke své délce 658 bajtů se řadí k velmi krátkým virům. Není polymorfní
a nepoužívá ani stealth techniky.
Po průniku do systému přebírá virus ZOOL přerušení služeb DOSu INT 21h a
monitoruje spouštění programů, které následně infikuje. V paměti se tento virus
umístí za poslední paměťový blok, jehož velikost zmenší o 700 bajtů. Voláním
přerušení INT 21h s hodnotou AFABh v registru AX testuje, zda již je či není
aktivní. Pokud vrátí tato služba hodnotu CEA9h v registru AX, je již virus
rezidentní v paměti.
Jak jsme již uvedli, virus infikuje spustitelné soubory s příponami COM a EXE,
nenapadá však takové soubory s příponou COM, které jsou větší než 64 494 bajtů
a EXE soubory, které obsahují překryvný modul. U nakažených souborů samozřejmě
nedochází ke změně časové značky. Virus se brání vícenásobné infekci kontrolou
posledních 2 slov programu, který se chystá napadnout. Pokud je zde hodnota
AFABh a CEA9h, považuje virus soubor za infikovaný.
ZOOL se nijak neprojevuje. Lze jej bezpečně odhalit a vyčistit programem
AECCLN2 a bezpochyby ani jiné antivirové programy nebudou mít problémy s jeho
zneškodněním.
8 0892 / Maf









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.