5lo

5lo
Nazwa zwyczajowa 5lo
Nazwa techniczna 5lo
Rodzina Nie dotyczy
Klasyfikacja Wirus
Typ DOS
Podtyp Rezydent EXE
Izolacja październik 1992
Punkt izolacji Nieznany
Punkt pochodzenia Nieznany
Autorski) Nieznany

5lo to wirus komputerowy , który zwiększa rozmiar pliku i robi niewiele więcej niż replikację. Rozmiar: 1032 bajty

Infekcja

5lo zaraża mieszkańców. Tylko pliki EXE . Kiedy infekuje plik, zwiększa jego rozmiar o około 1000-1100 bajtów (chociaż typowa wartość to 1032 bajty). Na bezpośrednim końcu pliku można znaleźć następujący komunikat (w wyniku którego pojawia się nazwa wirusa):

92.05.24.5lo.2.23MZ

W kodzie wirusa można znaleźć inne napisy:

????????.EXE i *.EXE

5lo pozostaje rezydentem. Za każdym razem, gdy uruchamiany jest plik .EXE, 5lo infekuje go (i inny plik .EXE). Wirus zmienia również znacznik czasu pliku na datę i godzinę infekcji. Po tych infekcjach uruchamiany jest licznik w wirusie. Jednak ten licznik nigdy nie jest sprawdzany, więc wirus się nie aktywuje. 5lo dołącza swój kod do zainfekowanych plików. Zmienia również pole 0Ch w nagłówku pliku .EXE na FFAAh. Wirus identyfikuje się z pamięci za pomocą przerwania INT 21, AX=3521h, które przechwycił. Wszystkie testy działają poprawnie, a wirus nie infekuje plików wiele razy i instaluje się w pamięci tylko raz.

Gdy 5lo działa w pamięci, nie można go wykryć, wpisując MEM /C. Dzieje się tak, ponieważ podczas instalacji wirus wiąże się z systemem operacyjnym. Wolna pamięć zmniejsza się o około 2 KB .

Linki zewnętrzne