Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Очень опасный резидентный зашифрованный Win9x-вирус длиной около 10Kb.
Вирус размножается как обычный нерезидентный вирус — сканирует подкаталоги
текущего диска, ищет PE EXE-файлы и заражает их, — однако вирус делает это
параллельно с выполнением программы-носителя (в фоновом режиме). В
результате вирус может оставаться активным достаточно длительное время — до
момента окончания работы программы-носителя, или если вирус просканировал
все подкаталоги на заражаемом диске. По этой причине вирус следует
классифицировать как «резидентный на время процесса».

При заражении вирус записывает себя в конец файлов в последнюю секцию,
увеличивает ее размер и корректирует необходимые поля PE-заголовка.

Для того, чтобы получить адреса необходимых для размножения функций
Windows, вирус сканирует ядро (код KERNEL32.DLL). При этом используются
адреса, корректные только для Win95/98. По этой причине вирус
неработоспособен под другими версиями Windows.

Примерно через 4 месяца после заражения файла и при запуске на том же самом
компьютере (при заражении вирус запоминает текущую дату и имя компьютера)
вирус вызывает процедуру-эффект. Эта процедура получает доступ к «рабочему
столу» Windows и при попытках выбрать какую-нибудь иконку курсором мыши
отодвигает иконки (или все ближайшие иконки) от курсора — иконки
«разбегаются» от курсора мыши.

При заражении файлов по 1, 2 и 3-м числам ежемесячно вирус записывает
троянскую программу в случайно выбранные PE EXE-файлы (вместо их
заражения). При запуске таких файлов через 7 месяцев они стирают все файлы
на текущем диске и записывают в файл WIN.COM «мусор» или текст:

 (c) 1999 Brain & Amjads (pvt) Ltd   
 VIRUS_SHOE  RECORD  v20.0
 Dedicated to the dynamic memories of millions of virus 
 who are no longer with us today - Thanks

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	Win9x
Описание	Technical Details Очень опасный резидентный зашифрованный Win9x-вирус длиной около 10Kb. Вирус размножается как обычный нерезидентный вирус — сканирует подкаталоги текущего диска, ищет PE EXE-файлы и заражает их, — однако вирус делает это параллельно с выполнением программы-носителя (в фоновом режиме). В результате вирус может оставаться активным достаточно длительное время — до момента окончания работы программы-носителя, или если вирус просканировал все подкаталоги на заражаемом диске. По этой причине вирус следует классифицировать как «резидентный на время процесса». При заражении вирус записывает себя в конец файлов в последнюю секцию, увеличивает ее размер и корректирует необходимые поля PE-заголовка. Для того, чтобы получить адреса необходимых для размножения функций Windows, вирус сканирует ядро (код KERNEL32.DLL). При этом используются адреса, корректные только для Win95/98. По этой причине вирус неработоспособен под другими версиями Windows. Примерно через 4 месяца после заражения файла и при запуске на том же самом компьютере (при заражении вирус запоминает текущую дату и имя компьютера) вирус вызывает процедуру-эффект. Эта процедура получает доступ к «рабочему столу» Windows и при попытках выбрать какую-нибудь иконку курсором мыши отодвигает иконки (или все ближайшие иконки) от курсора — иконки «разбегаются» от курсора мыши. При заражении файлов по 1, 2 и 3-м числам ежемесячно вирус записывает троянскую программу в случайно выбранные PE EXE-файлы (вместо их заражения). При запуске таких файлов через 7 месяцев они стирают все файлы на текущем диске и записывают в файл WIN.COM «мусор» или текст: (c) 1999 Brain & Amjads (pvt) Ltd VIRUS_SHOE RECORD v20.0 Dedicated to the dynamic memories of millions of virus who are no longer with us today - Thanks
	Узнай статистику распространения угроз в твоем регионе

Virus.Win9x.Shoerec

Technical Details