..
Click anywhere to stop
Click anywhere to stop
Класс | Virus |
Платформа | Win32 |
Описание |
Technical DetailsРезидентный полиморфный Win32-вирус. Заражает PE EXE файлы с расширениями .EXE, .SCR и.CPL. При заражении записывает свой зашифрованный код в конец файла, затем шифрует часть кода файла и записывает его также в конец файла, а в образовавшееся место записывает свой полиморфик-код. При запуске файла полиморфик-код получает управление, частично восстанавливает основной код вируса и передает на него управление. Расположенный в основном теле вируса дополнительный цикл расшифровки полностью восстанавливает код вируса и передает на него управление: Заражение файла-=============- -==============- |Заголовок | |Заголовок | |-------------| |--------------| <---- Стартовый адрес программы |Секция кода | ---- |Полиморфный | | | | |код | ----- Переход на основной код вируса | | | |--------------| | | | | | | | |-------------| | |--------------| | |Секции данных| | |Секции данных | | | | | | | | |-------------| | |--------------| | |Прочее | | |Прочее | | -=============- | |==============- | | |Зашифрованный | <---- | |код вируса | | |--------------| --> |Зашифрованная | |секция кода | -==============- При запуске вируса он ищет PE EXE-файлы в текущем каталоге, каталоге Windows, системном каталоге Windows и заражает их. Затем вирус остается в памяти Windows как часть зараженной программы, получает доступ к ядру Windows и перехватывает 15 функций работы с файлами: Полиморфик-генератор вируса содержит ошибки, в результате которых некоторые файлы при заражении оказываются испорченными. По пятницам и в зависимости от текущей даты вирус устанавливает у MS Internet Explorer и Netscape Navigator новый адрес стартовой Web-страницы:
Вирус также содержит текст-«копирайт»:
|
Узнай статистику распространения угроз в твоем регионе |