11
Wirus W13
Środa, marzec 11. 2009
Wirus plikowy, nierezydentny, znany także jako
[Trzynastka A], [534]. Dokleja 534 bajty na końcu zarażonego programu,
modyfikując równocześnie trzy początkowe bajty programu nosiciela na
skok do własnego kodu. Uruchomienie zarażonego programu powoduje, że
wirus, który jako pierwszy "przechwytuje inicjatywę", szuka
potencjalnej ofiary w katalogu aktualnym, a jeśli jej nie znajdzie to w
katalogu głównym. Jeśli znajdzie niezarażony jeszcze plik typu *.COM to
infekuje go. Zmienia przy tym w jego dacie numer miesiąca na 13 dzięki
czemu rozpoznaje zarażony program i infekuje go tylko jeden raz. Jeśli
nie znajdzie ofiary to oddaje sterowanie programowi nosicielowi nie
podejmując żadnych działań. Można go rozpoznać po tym, że zmienia
atrybuty "Read only" oraz generuje napis"
"Write protect error writing drive A Abort, Retry, Fail?"
przy próbie zarażenia programu na zaklejonej dyskietce w stacji A lub na dysku zabezpieczonym przed zapisem.
Ze względu na ograniczony zasięg poszukiwań ofiary i brak fazy niszczenia jest zaliczany do wirusów lagodnych. Tym niemniej zawsze zmniejsza pojemność dysku twardego, a atakując programy typu *.COM o długości zbliżonej do 64000 bajtów uniemożliwia ich załadowanie do pamięci, co czyni je bezużytecznymi.
Brak komentarzy.
Dodaj swój komentarz: