IDEA.6126

Jest to niegro藕ny, rezydentny, polimorficzny wirus paso偶ytniczy. Jego kod jest trzykrotnie zaszyfrowany, w tym raz polimorficznie. W rezultacie deszyfrowanie kodu szkodnika jest d艂ugotrwa艂e i nawet na komputerach klasy Pentium mo偶e trwa膰 oko艂o dw贸ch sekund.

Szkodnik przechwytuje przerwanie 21h i instaluje si臋 w pami臋ci jako program rezydentny. W momencie uruchamiania pliku COM lub EXE wirus dodaje si臋 do niego. Szkodnik nie infekuje pliku COMMAND.COM, kilku program贸w antywirusowych (TBAV, AVP, NAV, FINDVIRU, F-PROT) oraz plik贸w, kt贸rych nazwy zawieraj膮 pary znak贸w z nast臋puj膮cego ci膮gu:

TBVIAVNAVSFIF-FVIVDRSCGUCO.

Po zainfekowaniu pliku wirus otwiera plik ANTI-VIR.DAT (je偶eli istnieje) i modyfikuje nazw臋 zara偶onego obiektu zast臋puj膮c jej pierwszy znak "u艣mieszkiem" ASCII.

Gdy dost臋p do archiwum ZIP nast臋puje za po艣rednictwem DOS-owych komend FindFirst/Next wirus dodaje do takiego archiwum plik README.COM. Podczas infekowania szkodnik umieszcza ten plik na dysku, zara偶a go, ponownie pakuje i dokonuje zmian w strukturze archiwum.

W kodzie szkodnika zapisane s膮 trzy programy generuj膮ce efekty graficzne. Po uruchomieniu wy艣wietlaj膮 one nast臋puj膮ce teksty:

Downloaded From
http://www.narkotic.com/~vico
Da BeSt BoaRd In SPaiN: El GriLLo Loco (34-1-352 24 45)
* ROADKILL BBS *
Call now 028-6621590.

Podczas zara偶ania archiw贸w ZIP wirus tworzy nast臋puj膮ce pliki tymczasowe:

  • DIR.SKA,
  • END.SKA,
  • ADD.SKA.

O godzinie 15:30 wirus tworzy na dysku plik C:VIRUS.COM i wy艣wietla nast臋puj膮cy tekst:

Warning!
strong
crypto
inside.

W kodzie szkodnika zapisana jest nast臋puj膮ca sygnatura:

IDEA virus (c) Spanska 98
Thx to Rajaat (poly), 
F Mirza (IDEA), 
Wild Worker (zip), 
Solar D (road).