Technical Details
Очень опасный резидентный зашифрованный Win9x-вирус длиной около 10Kb.
Вирус размножается как обычный нерезидентный вирус — сканирует подкаталоги
текущего диска, ищет PE EXE-файлы и заражает их, — однако вирус делает это
параллельно с выполнением программы-носителя (в фоновом режиме). В
результате вирус может оставаться активным достаточно длительное время — до
момента окончания работы программы-носителя, или если вирус просканировал
все подкаталоги на заражаемом диске. По этой причине вирус следует
классифицировать как «резидентный на время процесса».
При заражении вирус записывает себя в конец файлов в последнюю секцию,
увеличивает ее размер и корректирует необходимые поля PE-заголовка.
Для того, чтобы получить адреса необходимых для размножения функций
Windows, вирус сканирует ядро (код KERNEL32.DLL). При этом используются
адреса, корректные только для Win95/98. По этой причине вирус
неработоспособен под другими версиями Windows.
Примерно через 4 месяца после заражения файла и при запуске на том же самом
компьютере (при заражении вирус запоминает текущую дату и имя компьютера)
вирус вызывает процедуру-эффект. Эта процедура получает доступ к «рабочему
столу» Windows и при попытках выбрать какую-нибудь иконку курсором мыши
отодвигает иконки (или все ближайшие иконки) от курсора — иконки
«разбегаются» от курсора мыши.
При заражении файлов по 1, 2 и 3-м числам ежемесячно вирус записывает
троянскую программу в случайно выбранные PE EXE-файлы (вместо их
заражения). При запуске таких файлов через 7 месяцев они стирают все файлы
на текущем диске и записывают в файл WIN.COM «мусор» или текст:
(c) 1999 Brain & Amjads (pvt) Ltd
VIRUS_SHOE RECORD v20.0
Dedicated to the dynamic memories of millions of virus
who are no longer with us today - Thanks
|