Virus.Win9x.Shoerec

Класс Virus
Платформа Win9x
Описание

Technical Details

Очень опасный резидентный зашифрованный Win9x-вирус длиной около 10Kb.
Вирус размножается как обычный нерезидентный вирус – сканирует подкаталоги
текущего диска, ищет PE EXE-файлы и заражает их, – однако вирус делает это
параллельно с выполнением программы-носителя (в фоновом режиме). В
результате вирус может оставаться активным достаточно длительное время – до
момента окончания работы программы-носителя, или если вирус просканировал
все подкаталоги на заражаемом диске. По этой причине вирус следует
классифицировать как “резидентный на время процесса”.

При заражении вирус записывает себя в конец файлов в последнюю секцию,
увеличивает ее размер и корректирует необходимые поля PE-заголовка.

Для того, чтобы получить адреса необходимых для размножения функций
Windows, вирус сканирует ядро (код KERNEL32.DLL). При этом используются
адреса, корректные только для Win95/98. По этой причине вирус
неработоспособен под другими версиями Windows.

Примерно через 4 месяца после заражения файла и при запуске на том же самом
компьютере (при заражении вирус запоминает текущую дату и имя компьютера)
вирус вызывает процедуру-эффект. Эта процедура получает доступ к “рабочему
столу” Windows и при попытках выбрать какую-нибудь иконку курсором мыши
отодвигает иконки (или все ближайшие иконки) от курсора – иконки
“разбегаются” от курсора мыши.

При заражении файлов по 1, 2 и 3-м числам ежемесячно вирус записывает
троянскую программу в случайно выбранные PE EXE-файлы (вместо их
заражения). При запуске таких файлов через 7 месяцев они стирают все файлы
на текущем диске и записывают в файл WIN.COM “мусор” или текст:

 (c) 1999 Brain & Amjads (pvt) Ltd   
 VIRUS_SHOE  RECORD  v20.0
 Dedicated to the dynamic memories of millions of virus 
 who are no longer with us today - Thanks
Узнай статистику распространения угроз в твоем регионе