Энциклопедия компьютерных вирусов

         

Заражение локальных и сетевых дисков


Червь также копирует себя и "регистрирует" свои копии на всех доступных логических дисках, включая сменные (флоппи) и сетевые. При заражении флоппи-дисков червь ищет на них файл AUTOEXEC.BAT и добавляет инструкцию, которая запускает PKZIP.EXE при загрузке с диска, а затем копирует себя на этот диск с именем PKZIP.EXE.

При заражении жестких дисков червь также копирует себя с именем в корневые каталоги этих дисков. Чтобы запустить свою копию червь создает там же файл AUTORUN.INF и записывает туда инструкцию, которая запускает файл PKZIP.EXE (копию червя) при следующем запуске Windows:

[autorun] open=pkzip.exe

При заражении удаленного диска червь прежде всего проверяет этот диск на возможность записи. Для этого что червь создает на нем файл TEMP9385.058 и удаляет это. В случае ошибки при создании файла вирус выходит из процедуры заражения. В противном случае (диск открыт на запись) копирует себя на этот диск с именем PKZIP.EXE и создает файл AUTORUN.INF (тем же способом, описанным выше). Кроме того червь ищет на диске каталоги \Windows и \WinNT и регистрирует свою копию PKZIP.EXE в файле WIN.INI в секции [Windows] "run=". Эта операция также вызывает выполнение копии червя при следующем старте Windows.

При заражении сетевых дисков червь также уничтожает там несколько исполняемых файлов (если они существуют) и записывает в них свою копию:

Acrobat3\Reader\Acrord32.exe Eudora95\Eudora.exe Program Files\Microsoft Office\Office\Outlook.exe Program Files\Internet Explorer\Iexplore.exe Program Files\WinZip\WinZip32.exe Program Files\Microsoft Office\Office\WinWord.exe Program Files\Netscape\Program\Netscape.exe



Содержание раздела