Энциклопедия компьютерных вирусов

         

Обработчик таймера


Когда обработчик таймера получает управление (каждые 10 секунд), он поочередно запускает 4 процедуры, при этом каждая очередная процедура вызывается при следующем вызове таймера. Первая процедура обращается ко всем дискам от C: до Z: и определяет диски, доступные на запись. Для этого она создает на диске временный файл \WR.TST и удаляет его. Если создание/удаление файла прошло успешно, то вирус запоминает номер диска. Вторая процедура сканирует дерево подкаталогов и ищет в них файлы. Если обнаружен EXE-файл, то вирус проверяет его длину и дату. Если длина файла лежит в пределах 16384 байт - 300K, а дата создания файла не равна 1234h (7 февраля 1990), то вирус запоминает имя файла и заражает его при вызове процедуры заражения (4-я процедура). При поиске файлов вирус обращает особое внимание на файлы OWINDOWS.TPW, BPC.EXE и NORMAL.DOT. Если найдены файлы Pascal for Windows (OWINDOWS.TPW и BPC.EXE), вирус запоминает их полные имена и использует в своей процедуре мутирования (см. ниже). Если обнаружен файл NORMAL.DOT, то вирус записывает вместо него несложный Word-макро-вирус. Этот вирус содержит три макроса (FileOpen, AutoOpen и WWUpdated) и заражает документы при их открытии.



Содержание раздела