Virus.Win32.Mental

Класс Virus
Платформа Win32
Описание

Technical Details

Опасный резидентный полиморфный Win32-вирус. Ищет PE EXE-файлы с
расширениями .EXE, .SCR, .CPL в текущем каталоге, каталоге Windows и
системном каталоге Windows и заражает их. При заражении шифрует свой код и
записывает его в секцию настроек адресов (Fixup section — обычно
расположена в конце PE-файлов), а код полиморфик-расшифровщика записывает в
середину файла в секцию кода.

Вирус резидентен на время работы процесса: сканирует таблицу импортов
зараженного приложения, перехватывает функции работы с файлами
(копирование, открытие, перемещение, запуск и т.п.) и заражает PE
EXE-файлы, к которым идет обращение этими функциямии. Таким образом, вирус
остается в памяти Windows как часть работающего процесса и активен до конча
работы зараженного приложения.

Полиморфик-генератор вируса содержит ошибки, и в некоторых случаях
зараженные файлы оказываются испорченными. При запуске таких файлов Windows
выдает стандартное сообщение об ошибке в приложении.

Вирус уничтожает антивирусные файлы данных: AVP.CRC, ANTI-VIR.DAT,
CHKLIST.MS, IVB.NTZ. Не заражает EXE-файлы с «антивирусными» именами — если
в имени файла есть символ ‘V’ или имя файла начинается с пар символов: TB,
SC, F-, PA, DR.

17 марта, июня, сентября и декабря вирус случайным образом вызывает один из
своих эффектов: первый в бесконечном цикле выводит на экран строки «NAZKA»,
второй выводит окно сообщения:

 Virus NAZKA
 (c) Virus NAZKA by The Mental Driller / 29A