Энциклопедия компьютерных вирусов
Технические детали
Стартер вируса является небольшой Java-программой, которая содержит всего около 40 строк. При запуске стартер устанавливает соединение с удаленным Web-сервером, считывает основной код вируса, хранящийся в файле BeanHive.class, и запускает его как свою подпрограмму.
Основной код вируса дополнительно разбит на шесть функциональных частей и хранится в шести различных Java-файлах, которые догружаются с сервера основной программой BeanHive.class:
BeanHive.class : поиск файлов в дереве подкаталогов +--- e89a763c.class : проверка формата файла |--- a98b34f2.class : функции работы с файлами |--- be93a29f.class : готовит файл к заражению (часть1) |--- c8f67b45.class : готовит файл к заражению (часть2) +--- dc98e742.class : вставляет в файл стартер вируса
При заражении Java-файлов вирус разбирает их внутренний формат, записывает в файл код стартера вируса в виде подпрограммы с именем "loadClass" и добавляет в код конструктора файла ее вызов: loadClass("BeanHive"). Передаваемый параметр ("BeenHive") при этом указывает на имя файла с основным кодом вируса, который хранится на удаленном Web-сервере.
