Энциклопедия компьютерных вирусов
Инталирование в систему
Сразу же после запуска червя (т.е. после запуска зараженного файла, вложенного в сообщение электронной почты), он самоинсталируется в директорию Windows под именем RPCSRV.EXE. Для того, чтобы запускаться каждый раз при очередной загрузке Windows, червь добавляет команду "Run=" в файл WIN.INI в директории Windows (в случае Win9x) или модифицирует соответствующий ключ системного рестра.
Для поиска директории Windows червь не использует соответствующие функции Windows. Вместо этого он сканирует все локальные диски на компьютере и ищет подкаталоги со следующими именами: \WINDOWS, \WIN95, \WIN98, \WIN, \WINNT. При обнаружении такого каталога червь_ищет в ней файл WIN.INI. Если этот файл найден, червь инсталирует себя в этот каталог и регистрирует в файле WIN.INI или реестре.
Таким образом, червь может создать несколько своих копий на одном компьютере, поразив все установленные версии операционной системы Windows. Это означает, что в случае, если на компьютере установлена система загрузки нескольких версий Windows, то червь активизируется при запуске каждой из них.
Для сокрытия своей деятельности в момент своей инсталляци червь показывает диалоговое окно следующего содержания:
