Dir II

Virus DIR II se liÜφ od vÜech ostatnφch druh∙ vir∙. Je dlouh² 1024 byt∙ a je zvlßÜtnφ v tom, ₧e sice napadß programy typu COM a EXE, ale soubory, ve kter²ch jsou tyto programy ulo₧eny, v∙bec nemodifikuje. Na infikovanΘm disku se vyskytuje pouze jedenkrßt. Pochßzφ z Bulharska. Po svΘm spuÜt∞nφ se virus instaluje do pam∞ti a pak prochßzφ z°et∞zenΘ ovlßdaΦe za°φzenφ (device drivers) a p°ipojφ se k nim tak, ₧e je p°i ka₧dΘm volßnφ diskov²ch operacφ aktivovßn. Pou₧φvß funkce Strategy a Interrupt. Po instalaci spustφ hostitelsk² program a normßlnφm zp∙sobem se ukonΦφ. Pam∞tov∞ rezidentnφ virus pak monitoruje p°φstup na disk a jednak hlφdß funkce Build BPB (kv∙li sprßvnΘ funkci programu typu CHKDSK) a jednak napadß disky a adresß°e.
InfekΦnφ rutinu viru je mo₧no rozd∞lit do dvou Φßstφ. Prvnφ souvisφ s napadenφm celΘho disku. Virus zjisti poslednφ cluster na disku, zapφÜe do n∞ho sebe sama a v tabulce FAT jej zvlßÜtnφm zp∙sobem oznaΦφ jako obsazen². Pokud tento cluster nßle₧el n∞jakΘmu souboru, je tento soubor virem p°epsßn a znφΦen. Je to vÜak jedinß Ükoda, kterou virus m∙₧e trvale zp∙sobit. Druhß Φßst infekΦnφ rutiny souvisφ s modifikacφ adresß°∙. Virus toti₧ manipuluje s polo₧kou v adresß°i, ve kterΘm je ulo₧eno mφsto na disku, na kterΘm soubor zaΦφnß (First Cluster Pointer, FCP). Virus zm∞nφ tento parametr u vÜech soubor∙ typu EXE a COM tak, ₧e vÜechny programy zaΦφnajφ k≤dem viru. Originßlnφ hodnota je zak≤dovßna a ulo₧ena na volnΘ (rezervovanΘ) mφsto v polo₧ce adresß°e. Virus tφmto zp∙sobem najednou napadß vÜechny soubory v danΘm adresß°i a proto se velmi rychle Üφ°φ. Virus kontroluje pouze rozÜφ°enφ a ne jmΘno souboru, a proto napadß i smazanΘ soubory (!!!). Virus neustßle p°i prßci s adresß°em p°epφnß polo₧ky FCP mezi p∙vodnφmi a modifikovan²mi hodnotami, aby mohl operaΦnφ systΘm v∙bec pracovat. Jako vedlejÜφ efekt z toho vypl²vajφ i urΦitΘ vlastnosti typu stealth (skr²vßnφ).
Pokud je virus aktivnφ v pam∞ti, chovß se poΦφtaΦ celkem normßln∞. Kdy₧ je vÜak zaveden systΘm z ΦφstΘ diskety, jsou vÜechny napadenΘ soubory pouze 1024 byt∙ dlouhΘ a program CHKDSK hlßsφ spousty chyb (vÜechny programy zaΦφnajφ na stejnΘm mφst∞ - k°φ₧enφ soubor∙). Stejn²m zp∙sobem se chovß infikovanß disketa v nezavirovanΘm poΦφtaΦi.
Po zjiÜt∞nφ viru v poΦφtaΦi lze jen t∞₧ko napadenΘ soubory zßlohovat. Pokud je virus v pam∞ti, jsou na zßlo₧nφ mΘdia p°eneseny infikovanΘ programy, pokud nenφ virus aktivnφ, je na disku pouze velk² zmatek.
Existuje velmi jednoduch² zp∙sob, jak m∙₧ete bez zvlßÜtnφch prost°edk∙ virus z disku odstranit. StaΦφ toti₧ v okam₧iku, kdy je virus aktivnφ, p°ejmenovat ve vÜech adresß°φch vÜechny soubory typu COM (nap°φklad na *.CO_) a EXE (nap°φklad na *.EX_). Virus sßm uvede p°φsluÜnΘ polo₧ky adresß°e do p∙vodnφho stavu. Pokud chcete zachrßnit i programy na disketßch, je nutno provΘst stejn² ·kon i na nich.
PotΘ je nutno zavΘst systΘm z originßlnφ diskety a vÜechny soubory p°ejmenovat zp∞t. Programem CHKDSK je mo₧no odstranit cluster obsazen² virem. Program, kter² i po tomto kroku virus obsahuje, je pravd∞podobn∞ zdrojem celΘ nßkazy.

Zdroj: Alwil software - v²robce antiviru AVAST