Вирус Memorial для Win95

Вирусы для Windows 95 уже мало кого удивляют. Первым вирусом, заражающим исполняемые файлы для этой среды, то есть файлы формата PortableEXE (PE), был Boza. Он появился в конце прошлого года, и авторство принадлежит известной австралийской вирусописательской группе VLAD. Сейчас уже известно несколько модификаций вируса Boza и целый ряд других вирусов для Windows 95.

И вот появился полиморфный вирус для Windows 95, также принадлежащий группе VLAD. В нем реализованы весьма интересные приемы резидентной установки собственного кода.

Win95.Memorial - неопасный резидентный полиморфный вирус, заражающий DOS'овские COM- и EXE-файлы, а также EXE- и SCR-файлы в формате PortableExe. Это первый известный полиморфный вирус для операционной системы Windows'95. В DOS-файлах и в VxD-драйвере он не зашифрован.

При запуске инфицированного DOS-файла вирус проверяет наличие среды Windows и собственной резидентной копии в памяти компьютера. Если Windows загружена или вирусная копия уже присутствует в системе, то вирус не предпринимает никаких действий и отдает управление программе-носителю. Когда же данные условия не выполняются, Win95.Memorial создает файл C:\Clint.vxd (инфицированные EXE-файлы содержат ошибку в создании VxD-драйвера), записывает в него собственный распакованный вирусный код (в зараженных файлах код виртуального драйвера хранится в упакованном виде) и оставляет в области второй половины таблицы векторов прерываний резидентный код, который "контролирует" прерывание Int 2Fh. Данная резидентная копия не заражает файлы, а предназначена для возвращения ответа "я здесь" и для загрузки виртуального вирусного драйвера C:\Clint.vxd при старте Windows.

При инициализации Windows вирусный резидентный код получает управление и достаточно хитроумным способом, используя интерфейс Windows, "подсказывает" ей, что необходимо загрузить резидентно в память драйвер C:\Clint.vxd. Таким образом, вирус без манипуляций с файлом System.ini загружает свой виртуальный драйвер. Этот драйвер контролирует файловые операции и при обращении к DOS'овским COM- и EXE-файлам, а также к EXE- и SCR-файлам в формате PE заражает их.

При заражении PE-файлов Win95.Memorial создает дополнительную сегментную секцию с названием Clinton (обычно данное название зашифровано) и записывает свой зашифрованный полиморфный код в конец файла. При старте инфицированного PE-файла под Windows'95 вирус определяет адреса необходимых ему процедур в модулях Kernel32 и User32 и, при отсутствии вирусного резидентного кода в системе, создает вирусный виртуальный драйвер в корневом каталоге и загружает его в систему также очень интересным способом с помощью интерфейса Windows95.

Так, установка резидентной копии очень похожа по алгоритму, но различается по реализации для различных операционных сред. Хотя и в том, и в другом случае необходимо наличие Windows 95.

10 апреля вирус выводит окно сообщения с текстом, показанное на рисунке.

Игорь Данилов, автор программы Doctor Web