Энциклопедия компьютерных вирусов

         

Червь в памяти Windows


После инсталляции в систему червь остается "резидентно" в памяти Windows и активен вплоть до очередной перезагрузки. Червь не имеет активного окна и невидим в таскбаре, однако он виден в списке задач (Task list - показывается, например, при Ctrl-Alt-Del). Копия червя при этом видна под одним из имен, в зависимости от того, какая их копий была выполнена:

Zipped_files Explore - не "Explorer"! _setup

Червь не проверяет свое присутствие в памяти Windows и может быть выполнен несколько раз, при этом в списке задач будут видны несколько копий червя.

Будучи активным в памяти Windows червь запускает четыре "нитки" (thread) своего процесса: инсталляция (копирование червя в каталоги Windows и регистрация в WIN.INI), распространение зараженных писем, и две нитки уничтожения файлов (см. ниже).



Содержание раздела