Virus.Win32.Deemo

Technical Details

Безобидный нерезидентный Win32-вирус. Рекурсивно ищет и заражает приложения Win32 (PE-файлы), которые имеют расширения EXE и SCR на диске C:.

При заражении дописывает в конец файла новую секцию произвольного размера. Свое тело помещает в произвольное место созданной секции.

Для заражения используется метод EPO (entry-point obscuring).

Все существующие секции переименовываются в секции с именем UPXx, где x — порядковый номер секции, начиная с нуля.

Вирус не заражает файлы повторно.

Deemo никак не проявляет своего присутствия в системе.

Содержит строку:

‘D3M0’

Строку можно увидеть при просмотре файла.