Ira.16384

Jest to bardzo gro藕ny wirus paso偶ytniczy. Dopisuje si臋 do plik贸w COM oraz EXE i usuwa pliki program贸w antywirusowych. Ze wzgl臋du na b艂臋dy w procedurze infekuj膮cej wirus mo偶e niszczy膰 dane zapisane na dyskach.

Szkodnik usuwa nast臋puj膮ce pliki program贸w antywirusowych:

  • ANTI*,
  • DRWEB,
  • AIDS*,
  • AVP*,
  • SCAN,
  • ADINF,
  • FPROT,
  • TBAV,
  • VIR*,
a tak偶e bazy danych program贸w antywirusowych:

  • *.AVC,
  • *.MS,
  • *.CP.

Podczas infekowania plik贸w wirus nie korzysta z funkcji systemu DOS lecz z bezpo艣rednich odwo艂a艅 do dysku twardego. S膮 one realizowane za po艣rednictwem port贸w I/O kontrolera dysku, zatem 偶aden program antywirusowy (z wyj膮tkiem zabezpiecze艅 sprz臋towych) nie mo偶e wykry膰 dzia艂a艅 wirusa.

Procedura infekuj膮ca jest bardzo skomplikowana i dzia艂a wy艂膮cznie na partycjach FAT16. Ponadto kod szkodnika zawiera b艂臋dy, co w niekt贸rych przypadkach prowadzi do zniszczenia infekowanych danych.

W pewnych okoliczno艣ciach wirus wy艣wietla na ekranie nast臋puj膮cy tekst:

Processing physical drive
Processing logical drive
Compatibility test done
Drive processed
Executing RULEZ_FOREVER
RULEZ_FOREVER Executed
Executing PROCESS_DIR [cluster ], RECURSIVE
Extension checked - OK
*** Executing SUPER_INFECT ***
<DIRECTORY> 
Back from recursive subprogram.

W kodzie szkodnika zapisany jest nast臋puj膮cy tekst:

SZ0MBiE#ID1234
-----------------------------------------------------------------------------
[FIRE]   FAT16 Independent Replicative Emulator   Copyright (c) 1998 Z0MBiE
Release 1.00[BETA]   *** NOT FOR [RE]PUBLISHING IN VX-ZINES, EXCEPT 29A ***
Thanx to S.S.R. & LordASD              HomePage: http://www.chat.ru/~z0mbie
-----------------------------------------------------------------------------