Опасый нерезидентный компаньон
-вирус. Представляет собой 622-байтный файл с именем CARBUNCL.COM. Это первая особенность вируса: его файл всегда имеет одно и то же имя. При запуске этого файла (т.е. вируса) он создает свою копию (файл CARBUNCL.COM) в текущем каталоге. Затем вирус ищет в текущем каталоге EXE-файлы, переименовывает их в файлы с теми же именами, но с расширением CRP, и для каждого переименованного файла создает компаньон-файл с расширением .BAT и именем первоначального .EXE-файла. В результате поражения каталога в нем появляется файл CARBUNCL.COM, и для каждого .EXE-файла появляется пара файлов с расширениями .BAT и .CRP. BAT-файл содержит шесть строк команд DOS. Если был заражен файл FILE.EXE, то BAT-файл будет выглядеть следующим образом:
@ECHO OFF CARBUNCL RENAME FILE.CRP FILE.EXE FILE.EXE RENAME FILE.EXE FILE.CRP CARBUNCL
Таким образом, при попытке запуска зараженного EXE-файла будет запущен BAT-компаньон, который переименовывает CRP-файл в EXE, затем выполняет его и переименовывает обратно в CRP. Если при запуске вируса значение секунд системного таймера меньше или равно 16, вирус записывает себя вместо первого CRP-файла текущего каталога, уничтожая таким образом зараженный EXE-файл. Вирус также содержит строки:
*.crp CARBUNCL.COM BAT*.exe CRP
@ECHO OFF CARBUNCL RENAME
PC CARBUNCLE: Crypt Newsletter 14