Virus.Win32.Donut

Класс Virus
Платформа Win32
Описание

Technical Details

Безобидный нерезидентный Win32-вирус. Вирус состоит из двух компонент: собственно вируса, написанного на Ассемблере, и небольшой подпрограммы, написанной на MSIL.

Вирус ищет и заражает в текущем каталоге Win32 PE EXE .NET приложения.

При заражении вирус записывается в конец файлов и замещает метаданные приложения своей подпрограммой, сдвигая их ниже.
При запуске заражённых файлов управление передаётся вирусу, который делает копию заражённого файла, восстанавливает его метаданные и запускает файл.

Заражённые вирусом файлы полноценно запускаются только в Windows 2000.

При запуске заражённых файлов в Windows XP вирус запустится, однако оригинальный файл запускаться не будет.

С вероятностью 1/10 вирус выводит сообщение:


.NET.dotNET by Benny/29A
This cell has been infected by dotNET virus

Вирус содержит следующую текстовую строку:


This cell has been infected by dotNET virus!