Technical Details
Первый известный вирус, заражающий HTML-файлы. При обращении к зараженной
странице вирус ищет HTML-файлы на локальном диске и заражает их. При
заражении использует скрипты, написанные на языке Visual Basic. Вирус
размножается только в том случае, когда в броузере отключены
соответствующие Security settings, в противном случае при запуске вируса
броузер выдает сообщение об ошибке.
Заголовок зараженных HTML-файлов содержит инструкцию, которая объявляет
вирусный скрипт как автоматически выполняемый при открытии файла броузером,
т.е. при открытии зараженной HTML-страницы управление автоматически
передается на код вируса. Основная процедура вируса с вероятностью 1/6 в
зависимости от системного датчика случайных чисел вызывает процедуру
заражения, которая ищет все *.HTM и *.HTML-файлы в текущем и всех
родительских каталогах и записывается в их начало. При заражении
первоначальное содержимое файлов сдвигается вниз, по этой причине вирус не
портит файлы и визуально (при просмотре броузером) зараженные HTML-страницы
никак не отличаются от незараженных.
Первая строка кода вируса содержит текст-идентификатор:
После заражения вирус выводит в status-bar сообщение:
HTML.Prepend /1nternal
HTML.Internal.b
Тем же способом, что и первая версия вируса, ищет HTML-файлы в текущем и
родительских каталогах и записывается вместо них, т.е. полностью уничтожает
первоначальное содержимое файлов. Тело вируса содержит текстовый
комментарий «HTML.Offline v0.1» и ссылку на Web-страницу автора вируса.
HTML.Internal.c
Компаньон-вирус: ищет HTM-файлы, переименовывает их в HTML
(добавляет символ ‘L’ в конец файла) и записывает себя под первоначальным
именем заражаемого файла. В зависимости от системного датчика случайных
чисел выводит MessageBox:
HTML.Redirect /1nternal
|