Энциклопедия компьютерных вирусов
Инсталляция
При загрузке Windows с зараженным VxD вирус отключает регистрацию событий в файле BOOTLOG.TXT, определяет местоположение каталога Windows, удаляет файл WINDOWS\SYSTEM\IOSUBSYS\HSFLOP.PDR, считывает свой собственный код с диска и упаковывает его (упакованный код VxD затем используется при заражении файлов и дискет).
Затем вирус выделяет себе необходимое количество памяти и вызывает полиморфик-процедуру. Эта процедура вызывается подряд три раза для генерации трех вариантов полиморфик-кода: в загрузочном секторе дисиет, в COM-файлах и в PE-файлах. Полученный полиморфик-код затем запоминается вирусом в выделенных блоках памяти и без изменений используется при заражении всех секторов и файлов. В результате каждый тип заражаемых объектов в течении одного сеанса работы вплоть до перезагрузки записывается один и тот же полиморфик-цикл, т.е. вирус является «медленно-полиморфичным».
Следует отметить, что процедура инсталляции вируса в память Windows содержит ошибку и корректно работает не во всех случаях.
