|
        
|
Emperor
Velice nebezbečný paměťově rezidentní polymorfní a multipartitní virus. Je dlouhý 5826 bytů. Infikuje COM a EXE soubory pro DOS, přičemž se zapisuje na jejich konce. Kromě toho infikuje MBR pevného disku a boot sektor disket. Virus využívá stealth funkce a dokáže obejít antivirovou ochranu BIOSu.Virus má chyby a v některých případech můžou být soubory při infekci narušeny. Při spuštění pak zablokují počítač.
Během infekce MBR virus využívá několik triků, kterými dokáže obejít antivirovou ochranu BIOSu. Pokud zjistí, že je zapnuta (z CMOS), posílá před napadením MBR do bufferu klávesnice znak "Y", kterým se snaží potvrdit zprávu o povolení infekce MBR.
Virus ukládá původní MBR a boot sektor na vyhrazené sektory na disku, ale zakóduje je a naruší. Tyto data pak pracují korektně pouze v případě, že virus je aktivní v operační paměti (virus totiž po svém zavedení do paměti předává zpět řízení původnímu MBR či boot sektoru). Virus taky pozmění Partition tabulku tak, že není možné systém nahrát z čisté systémové diskety (disk je nepřístupný ?).
Během infekce MBR nebo boot sektoru (v případě diskety) v nich virus hledá nějaké specifické sekvence, a pokud je najde, vymaže CMOS paměť a tím zablokuje počítač (ten hlásí "Error in CMOS").
Virus však provádí i daleko horší operaci. Podobně jako virus CIH (Černobyl) přepisuje Flash BIOS přičemž maže i data z pevného disku. Ve stejný čas zobrazuje zprávu:
EMPEROR
I will grind my hatred upon the loved ones.
Despair will be brought upon the hoping childs of happiness.
Wherever there is joy the hordes of the eclipse will pollute
sadness and hate under the reign of fear.
In the name of the almighty Emperor....
Tato operace se provede, pokud virus v paměti najde aktivní debugger, nebo pokud je systém restartován mezi 5 a 10 hodinou dopoledne. Díky chybě ve viru se však tato operace může provést skoro kdykoliv.
Virus taky obsahuje text:
he EMPEROR virus written by Lucrezia Borgia In Colombia, 1999
Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG
