Энциклопедия компьютерных вирусов
Инсталляция
При перезагрузке Windows вирус остается в памяти как часть 16-битного ядра Windows, при этом вирусу не нужно производить никаких специальных действий: в результате своего метода заражения вирус уже является частью ядра Windows. Вирусу также не надо перехватывать системные процедуры WINEXEC/INITTASK - их адреса уже указывают на код вируса. Под Windows 3.xx вирус перехватывает WINEXEC и, следовательно, заражает файлы при их запуске. Вирус делает это достаточно оригинально: он немедленно вызывает "настоящий" WINEXEC, а заражение откладывает "на потом". В результате заражение происходит в фоновом режиме, и не происходит видимого замедления работы компьютера при запуске файлов. Это достаточно важно для вирусов, заражающих Windows 3.xx, поскольку сейчас эта система установлена обычно на старых медленных PC, и заметная задержка при выполнении файлов может обеспокоить пользователя. Под Windows95/NT вирус перехватывает INITTASK, т.е. получает управление при регистрации в системе запускаемых программ. При этом вызове вирус при помощи процедуры GetExePtr получает handle каждой активной программы и заражает те из них, которые имеют формат NE.
