Описание |
Technical Details
Троянец, записывающий вирусоподобный код в конец файлов C:RARA.EXE и
C:RARA.OVR. Если такие файлы отсутствуют, ищет их в каталоге, отмеченном
строкой “RA=” в области Environment.
При запуске “зараженной” программы код троянца перехватывает INT 21h, 60h и
остается резидентно в памяти. Затем он проверяет системную память по
каким-то адресам (ищет там строку “TELEFOON”) и правит какие-то байты в
этой области (патчит какую-то программу?). При инсталляции в память троянец
использует некорректные приемы, что может привести к зависанию компьютера.
|