Резидентный файловый вирус. Находит и заражает COM и MZ EXE-файлы на зараженном компьютере.
Инсталляция
После запуска происходит запись кода вируса в область памяти системы DOS и перехват 21h (33) прерывания путем непосредственного изменения таблицы прерываний, после чего выполняется оригинальный код инфицированной программы.
Деструктивная активность
При запуске программы на исполнение и наличии вируса в памяти происходит инфицирование каждой четвертой запускаемой программы.
Вирус заражает файлы, соответствующие следующим критериями:
* размер файла — не менее 1000 байт; * файл не был ранее инфицирован.
Инфицирование происходит следующим образом:
* сохраняются файловые аттрибуты и файловое время; * в конец инфицируемого файла дописываются 1100 байт тела вируса; * если файл двоичный (COM-файл), происходит сохранение первых 4-х байт с записью команды перехода на тело вируса; * если файл формата MZ-EXE (файлы DOS, а также PE EXE-файлы), происходит изменение MZ-заголовка файла; * осуществляется восстановление файловых аттрибутов и файлового времени.
Также вирус выводит на экран компьютера следующее сообщение:
CYBURG1 (Chronophage) - Beta Release 1994 !
Special Thanks to : HA HA High Technology.
Remember :
Some Human Actions Have Real Artistic Mysteries...
Cyburg
Другие названия
Virus.DOS.Abbas.1100 («Лаборатория Касперского») также известен как: Abbas.1100 («Лаборатория Касперского»), Univ/r (McAfee), Abbas.1100 (Symantec), Abbas.1100 (Doctor Web), Abbas-1100 (Sophos), Abbas.1100! (RAV), ABBASS.1100-C (Trend Micro), Grubyc.1100 (H+BEDV), Abbas.1100 (FRISK), Cyburg-1100 (ALWIL), Abbas (Grisoft), PS-MPC.1100.AH.Gen (SOFTWIN), Abbas.1100 (ClamAV), ABBAS.1100 (Panda)