Emperor
Velice nebezbečný paměťově rezidentní polymorfní a multipartitní virus.
Je dlouhý 5826 bytů. Infikuje COM a EXE soubory pro DOS, přičemž se zapisuje
na jejich konce. Kromě toho infikuje MBR pevného disku a boot sektor
disket. Virus využívá stealth funkce a dokáže obejít antivirovou ochranu BIOSu.
Virus má chyby a v některých případech můžou být soubory při infekci narušeny.
Při spuštění pak zablokují počítač.
Během infekce MBR virus využívá několik triků, kterými dokáže obejít antivirovou ochranu BIOSu.
Pokud zjistí, že je zapnuta (z CMOS), posílá před napadením MBR do bufferu klávesnice znak "Y", kterým se snaží
potvrdit zprávu o povolení infekce MBR.
Virus ukládá původní MBR a boot sektor na vyhrazené sektory na disku, ale zakóduje je a naruší.
Tyto data pak pracují korektně pouze v případě, že virus je aktivní v operační paměti (virus totiž po svém
zavedení do paměti předává zpět řízení původnímu MBR či boot sektoru).
Virus taky pozmění Partition tabulku tak, že není možné systém nahrát z čisté systémové diskety (disk je nepřístupný ?).
Během infekce MBR nebo boot sektoru (v případě diskety) v nich virus hledá nějaké specifické sekvence, a pokud je najde, vymaže
CMOS paměť a tím zablokuje počítač (ten hlásí "Error in CMOS").
Virus však provádí i daleko horší operaci. Podobně jako virus CIH (Černobyl) přepisuje Flash BIOS přičemž maže i data
z pevného disku. Ve stejný čas zobrazuje zprávu:
EMPEROR
I will grind my hatred upon the loved ones.
Despair will be brought upon the hoping childs of happiness.
Wherever there is joy the hordes of the eclipse will pollute
sadness and hate under the reign of fear.
In the name of the almighty Emperor....
Tato operace se provede, pokud virus v paměti najde aktivní debugger, nebo pokud je systém
restartován mezi 5 a 10 hodinou dopoledne. Díky chybě ve viru se však tato operace může provést
skoro kdykoliv.
Virus taky obsahuje text:
he EMPEROR virus
written by Lucrezia Borgia
In Colombia, 1999
Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG

|