IDEA.6126
Szkodnik przechwytuje przerwanie 21h i instaluje si臋 w pami臋ci jako program rezydentny. W momencie uruchamiania pliku COM lub EXE wirus dodaje si臋 do niego. Szkodnik nie infekuje pliku COMMAND.COM, kilku program贸w antywirusowych (TBAV, AVP, NAV, FINDVIRU, F-PROT) oraz plik贸w, kt贸rych nazwy zawieraj膮 pary znak贸w z nast臋puj膮cego ci膮gu:
TBVIAVNAVSFIF-FVIVDRSCGUCO.
Po zainfekowaniu pliku wirus otwiera plik ANTI-VIR.DAT (je偶eli istnieje) i modyfikuje nazw臋 zara偶onego obiektu zast臋puj膮c jej pierwszy znak "u艣mieszkiem" ASCII.
Gdy dost臋p do archiwum ZIP nast臋puje za po艣rednictwem DOS-owych komend FindFirst/Next wirus dodaje do takiego archiwum plik README.COM. Podczas infekowania szkodnik umieszcza ten plik na dysku, zara偶a go, ponownie pakuje i dokonuje zmian w strukturze archiwum.
W kodzie szkodnika zapisane s膮 trzy programy generuj膮ce efekty graficzne. Po uruchomieniu wy艣wietlaj膮 one nast臋puj膮ce teksty:
Downloaded From http://www.narkotic.com/~vico Da BeSt BoaRd In SPaiN: El GriLLo Loco (34-1-352 24 45) * ROADKILL BBS * Call now 028-6621590.
Podczas zara偶ania archiw贸w ZIP wirus tworzy nast臋puj膮ce pliki tymczasowe:
- DIR.SKA,
- END.SKA,
- ADD.SKA.
O godzinie 15:30 wirus tworzy na dysku plik C:VIRUS.COM i wy艣wietla nast臋puj膮cy tekst:
Warning! strong crypto inside.
W kodzie szkodnika zapisana jest nast臋puj膮ca sygnatura:
IDEA virus (c) Spanska 98 Thx to Rajaat (poly), F Mirza (IDEA), Wild Worker (zip), Solar D (road).