|
|||
RipperTento boot virus se po své aktivaci instaluje pod hranici 640 KB operační paměti, zmenší zbývající velikost volné paměti o 2 KB, přesměruje vektor přerušení 13h a otestuje, zda je již napaden pevný disk počítače. Pokud ne, virus provede zápis svého kódu do tabulky rozdělení disku (DPT). Svou druhou část uloží do sektoru 8, hlava 0, stopa 0. Originální DPT je umístěna v sektoru 9, hlava 0, stopa 0. Virus pak zavede do paměti originální DPT sektor a předá mu řízení. Virus sleduje při zápisu či čtení diskety, zda je již napadena. Pokud není, tak se zapíše do jejího boot sektoru a do předposledního sektoru v základním adresáři. Do následujícího sektoru uloží původní boot sektor. Každá operace s nechráněnou disketou tak vede k jejímu napadení a dalšímu šíření viru. Jack Ripper používá techniky stealth. Pokud je virus aktivní, monitoruje požadavky na čtení a zápis sektoru. Při pokusu číst DPT předloží originální DPT, při pokusu o zápis DPT se operace neprovede. Při čtení sektorů 8 nebo 9 se přečtou samé nuly. Virus v sobě obsahuje znakový řetězec (C) 1992 Jack Ripper. Tento řetězec je jak na pevném disku, tak i na disketách kódován. Škodlivá činnost tohoto viru je velmi zákeřná. Virus při zápisu sektoru prohodí s pravděpodobností asi 1:1024 dvě náhodně vybraná slova v zapisovaném sektoru. Protože se nejčastěji zapisují data, může to vést k hromadění nevysvětlitelných chyb. Virus může být odstraněn standardním systémovým programem „FDISK/MBR" (od verze MS-DOSu 5.0).Zdroj: Alwil software - výrobce antiviru AVAST |
|||
|