Энциклопедия компьютерных вирусов



             

Инталирование в систему


Сразу же после запуска червя (т.е. после запуска зараженного файла, вложенного в сообщение электронной почты), он самоинсталируется в директорию Windows под именем RPCSRV.EXE. Для того, чтобы запускаться каждый раз при очередной загрузке Windows, червь добавляет команду "Run=" в файл WIN.INI в директории Windows (в случае Win9x) или модифицирует соответствующий ключ системного рестра.

Для поиска директории Windows червь не использует соответствующие функции Windows. Вместо этого он сканирует все локальные диски на компьютере и ищет подкаталоги со следующими именами: \WINDOWS, \WIN95, \WIN98, \WIN, \WINNT. При обнаружении такого каталога червь_ищет в ней файл WIN.INI. Если этот файл найден, червь инсталирует себя в этот каталог и регистрирует в файле WIN.INI или реестре.

Таким образом, червь может создать несколько своих копий на одном компьютере, поразив все установленные версии операционной системы Windows. Это означает, что в случае, если на компьютере установлена система загрузки нескольких версий Windows, то червь активизируется при запуске каждой из них.

Для сокрытия своей деятельности в момент своей инсталляци червь показывает диалоговое окно следующего содержания:

 Setup Cannot open file: it does not appear to be a valid archive. If you downloaded this file, try downloading the file again. [ OK ]




Содержание  Назад  Вперед