Ira.16384
Szkodnik usuwa nast臋puj膮ce pliki program贸w antywirusowych:
- ANTI*,
- DRWEB,
- AIDS*,
- AVP*,
- SCAN,
- ADINF,
- FPROT,
- TBAV,
- VIR*,
- *.AVC,
- *.MS,
- *.CP.
Podczas infekowania plik贸w wirus nie korzysta z funkcji systemu DOS lecz z bezpo艣rednich odwo艂a艅 do dysku twardego. S膮 one realizowane za po艣rednictwem port贸w I/O kontrolera dysku, zatem 偶aden program antywirusowy (z wyj膮tkiem zabezpiecze艅 sprz臋towych) nie mo偶e wykry膰 dzia艂a艅 wirusa.
Procedura infekuj膮ca jest bardzo skomplikowana i dzia艂a wy艂膮cznie na partycjach FAT16. Ponadto kod szkodnika zawiera b艂臋dy, co w niekt贸rych przypadkach prowadzi do zniszczenia infekowanych danych.
W pewnych okoliczno艣ciach wirus wy艣wietla na ekranie nast臋puj膮cy tekst:
Processing physical drive Processing logical drive Compatibility test done Drive processed Executing RULEZ_FOREVER RULEZ_FOREVER Executed Executing PROCESS_DIR [cluster ], RECURSIVE Extension checked - OK *** Executing SUPER_INFECT *** <DIRECTORY> Back from recursive subprogram.
W kodzie szkodnika zapisany jest nast臋puj膮cy tekst:
SZ0MBiE#ID1234 ----------------------------------------------------------------------------- [FIRE] FAT16 Independent Replicative Emulator Copyright (c) 1998 Z0MBiE Release 1.00[BETA] *** NOT FOR [RE]PUBLISHING IN VX-ZINES, EXCEPT 29A *** Thanx to S.S.R. & LordASD HomePage: http://www.chat.ru/~z0mbie -----------------------------------------------------------------------------