Winstart

Вирус получил название "Winstart", так как живет только в одном файле - WINSTART.BAT. Этот BAT-файл содержит четыре строки текста и строку данных:

@ECHO OFF :s%r# COPY %0.BAT C:\Q.COM>NUL C:\Q [ binary data ]

При запуске вируса (BAT-файла) он копирует себя в COM-файл (dropper) и запускает эго. Dropper при запуске копирует себя в HMA-память (High Memory Area), перехватывает INT 2Fh и создает файлы WINSTART.BAT на флоппи-дисках, куда себя и копирует. Очень похожий алгоритм использовался в вирусе Batman

Содержание раздела

---

---