Энциклопедия компьютерных вирусов
WinHLP.Demo
Первый известный "настоящий" Windows HLP-вирус: размножается только при отрытии HLP-файлов (файлы помощи) Windows, ищет и заражает другие HLP-файлы в текущем каталоге (первым известным вирусом, записывающим свой "дроппер" в HLP-файлы, был "Win95.SK").
При открытии зараженного HLP-файла Windows обрабатывает встроенный в него вирусный скрипт и выполняет все указанные в нем инструкции. При помощи неочевидного приема одна из вирусных инструкций выполняет как код (как обычную программу Windows) данные, которые указаны в этой инструкции. Таким образом скрипт вируса переключает себя из режима скрипта HLP-файла в режим обычного приложения Windows.
Выполняемый при этом код является "стартером" вируса, который при помощи полиморфного кода реконструирует главную процедуру вируса - процедуру заражения - и передает на нее управление. Процедура заражения во многом напоминает другие Win32-вирусы: она сканирует ядро Windows (KERNEL32.DLL), ищет в нем адреса необходимых вирусу функций и вызывает подпрограмму поиска HLP-файлов Windows и внедрения в них.
При заражении конкретного HLP-файла вирус разбирает его структуру, ищет секцию скриптов "SYSTEM", записывает в нее необходимые инструкции и дополняет их полиморфным "стартером".
Перед запуском процедуры заражения и после окончания ее работы вирусный скрипт выводит два окна сообщений:
HLP.Demo Trying to infect
HLP.Demo Script comes to end!
Демонстрации вирусных эффектов:
|
demo.gif |
