5lo
Nazwa zwyczajowa | 5lo |
---|---|
Nazwa techniczna | 5lo |
Rodzina | Nie dotyczy |
Klasyfikacja | Wirus |
Typ | DOS |
Podtyp | Rezydent EXE |
Izolacja | październik 1992 |
Punkt izolacji | Nieznany |
Punkt pochodzenia | Nieznany |
Autorski) | Nieznany |
5lo to wirus komputerowy , który zwiększa rozmiar pliku i robi niewiele więcej niż replikację. Rozmiar: 1032 bajty
Infekcja
5lo zaraża mieszkańców. Tylko pliki EXE . Kiedy infekuje plik, zwiększa jego rozmiar o około 1000-1100 bajtów (chociaż typowa wartość to 1032 bajty). Na bezpośrednim końcu pliku można znaleźć następujący komunikat (w wyniku którego pojawia się nazwa wirusa):
92.05.24.5lo.2.23MZ
W kodzie wirusa można znaleźć inne napisy:
????????.EXE i *.EXE
5lo pozostaje rezydentem. Za każdym razem, gdy uruchamiany jest plik .EXE, 5lo infekuje go (i inny plik .EXE). Wirus zmienia również znacznik czasu pliku na datę i godzinę infekcji. Po tych infekcjach uruchamiany jest licznik w wirusie. Jednak ten licznik nigdy nie jest sprawdzany, więc wirus się nie aktywuje. 5lo dołącza swój kod do zainfekowanych plików. Zmienia również pole 0Ch w nagłówku pliku .EXE na FFAAh. Wirus identyfikuje się z pamięci za pomocą przerwania INT 21, AX=3521h, które przechwycił. Wszystkie testy działają poprawnie, a wirus nie infekuje plików wiele razy i instaluje się w pamięci tylko raz.
Gdy 5lo działa w pamięci, nie można go wykryć, wpisując MEM /C. Dzieje się tak, ponieważ podczas instalacji wirus wiąże się z systemem operacyjnym. Wolna pamięć zmniejsza się o około 2 KB .