Igiho strßnka o virech

Tremor.4000

Tremor je polymorfnφ virus, kter² napadß programy typu COM (o dΘlce 8192 a₧ 55039 byt∙) a EXE (o dΘlce 8192 a₧ 1048576 byt∙) a je pam∞¥ov∞ rezidentnφ. P°i spuÜt∞nφ napadenΘho programu se virus nejprve dek≤duje, a pak testuje aktußlnφ datum. Pokud od data napadenφ dosud neuplynuly alespo≥ 3 m∞sφce, p°φpadn∞ je soubor v jinΘm adresß°i ne₧ byl napaden, virus modifikuje vlastnφ k≤d a neprojevuje se ₧ßdn²mi zvukov²mi ani obrazov²mi efekty. Dßle virus testuje svou p°φtomnost v operaΦnφ pam∞ti pomocφ p°eruÜenφ 21h funkce 0F1E9h. Pokud je virus ji₧ v pam∞ti aktivnφ, nebo je verze MS-DOSu menÜφ ne₧ 3.30 je °φzenφ p°edßno napadenΘmu programu. V p°φpad∞, ₧e virus dosud v pam∞ti nenφ, instaluje se do pam∞ti XMS nebo do UMB. Pokud se nepovede ani jedna z t∞chto variant, instaluje se na vrchol zßkladnφ operaΦnφ pam∞ti. P°itom si v pam∞ti alokuje 4288 byt∙. Virus pomocφ p°eruÜenφ 01h testuje jednak mo₧nou p°φtomnost debugger∙, jednak si zjistφ adresu p°eruÜenφ 21h, kterou pak pou₧φvß k p°φmΘmu volßnφ jßdra systΘmu. Adresy p°eruÜenφ 21h a 15h p°esm∞ruje do nepou₧itΘ oblasti MCB hostitelskΘho programu a odtud pak skßΦe p°φmo do svΘ rezidentnφ Φßsti. Infikuje program specifikovan² prom∞nnou äCOMSPEC", nejΦast∞ji COMMAND.COM a spustφ p∙vodnφ program. Tremor pou₧φvß techniky stealth. Pokud je virus aktivnφ, monitoruje Φinnost systΘmu a informace, kterΘ by mohli vΘsti k jeho odhalenφ, p°edßvß systΘmu ve zkreslenΘ form∞. Nap°φklad p°i dotazu na dΘlku souboru p°edß p∙vodnφ dΘlku napaden²ch soubor∙ atd. P°i spuÜt∞nφ programu, virus testuje, zda jmΘno souboru nezaΦφnß äCH",äME", äMI", äF2", äF-", äSY", äSI" a äPM". Pokud ano, provede zm∞ny v alokaci pam∞ti, tak₧e nap°φklad program CHKDSK vracφ jakoby sprßvnΘ hodnoty velikosti volnΘ pam∞ti. Virus nenapadß programy zaΦφnajφcφ znaky äSC", äCL" nebo äHB". Virus takΘ testuje, zda druh² a t°etφ znak jmΘna programu je äRJ". V takovΘm p°φpad∞ zaΦne dßvat systΘmu pravdivΘ informace o souborech. Znamenß to, ₧e archivy ARJ budou obsahovat virus, kde₧to nap°φklad v ZIPech virus nebude. Podobn∞ kopie zdravΘho i napadenΘho souboru vytvo°enΘ pomocφ systΘmovΘho COPY virus neobsahujφ, zatφmco ob∞ kopie ud∞lanΘ pomocφ Nortona jsou infikovßny. Zjistφ-li virus p°φtomnost antivirovΘho programu FLU-SHOT+, soubor nenapadne a p°estane se jakkoliv projevovat. Tremor takΘ testuje p°φtomnost antivirovΘho programu VSAFE z MS-DOSu 6.00. Pomocφ specißlnφch funkcφ p°eruÜenφ 13h umφ virus uvΘst VSAFE do neaktivnφho stavu a po napadenφ souboru zase zaktivovat.
Virus otev°e soubor a p°eΦte si poslednφch dvacet byt∙. Vcelku jednoduÜe je dek≤duje a pokud obsahujφ slovo äDEAD" a datum souboru je zv∞tÜenΘ o 100 let p°edpoklßdß, ₧e je soubor ji₧ napaden. V opaΦnΘm p°φpad∞ virus p°ihraje svou zak≤dovanou kopii na konec napadenΘho programu, p°esm∞ruje poΦßteΦnφ skok nebo zm∞nφ hodnotu v hlaviΦce EXE souboru a spustφ p∙vodnφ program. NapadenΘ soubory prodlu₧uje o 4000 byt∙, datum napaden²ch souboru zv∞tÜuje o 100 let. P°i volßnφ p°eruÜenφ 15h vypisuje uvedenou zprßvu. P°i volßnφ p°eruÜenφ 21h posouvß celou obrazovku doleva a doprava o jeden znak.

-=> T╖R╖E╖M╖O╖R was done by NEUROBASHER / May-June'92, Germany <=-
           -MOMENT-OF-TERROR-IS-THE-BEGINNING-OF-LIFE-

Virus m∙₧e b²t odstran∞n bu∩ zruÜenφm napaden²ch soubor∙ a jejich nahrazenφm z originßlnφch disket, nebo pomocφ programu pro testovßnφ integrity soubor∙ (pokud jej ovÜem pravideln∞ pou₧φvßte).

Zdroj: Alwil software - v²robce antiviru AVAST