Энциклопедия компьютерных вирусов

         

Запуск PE-файла


Код вируса в зараженных PE-файлах выполняет в точности те же операции, что и в COM-дроппере - создает в системном каталоге Windows VxD-дроппер и регистрирует его в файле SYSTEM.INI, - предварительно определив адреса необходимых функций Windows API: GetProcAddress, GetModuleHandleA, CreateFileA, WriteFile, CloseHandle, WinExec, DeleteFileA, Sleep. Для этого вирус сканирует таблицу экспортов KERNEL32.DLL.



Содержание раздела