Энциклопедия компьютерных вирусов

           

Секция WIN.INI и проявления вируса


При заражении системы вирус создает в файле WIN.INI новую секцию [The Apparition]. В ней он создает и модифицирует свои параметры и затем использует их при работе. "Running NOW=" - "Yes" означает, что вирус уже активен в системе и при повторных запусках зараженных файлов он не будет устанавливать себя в память. При заражении системы (при первом запуске) вирус устанавливает этот параметр в "Yes", при выходе - в "No". "BootInfected=" - "1" означает, что "дроппер" VIDACCEL.EXE уже присутствует в системе, и вирус не должен заново создавать его. "DieMonth=" и "DieDay=" указывают день и месяц "срабатывания". В этот день вирус уничтожает все файлы (кроме WIN386.SWP и 386SPART.PAR) на всех дисках. При заражении системы вирус устанавливает дату срабатывания на текущую дату плюс один месяц. "AtomID=" и "IDAtom=" - параметры вируса, используемые при системных вызовах. Вирус также обрабатывает параметры, которые не создает, т.е. эти параметры могут быть созданы и модифицированы только пользователем. Видимо, автор вируса использовал их при отладке. "Die=" - запрещает удаление файлов. "NoRun=" - запрещает инсталляцию вируса в систему. "NoInfect=" - запрещает заражение файлов. "ShowDotsOn=1", "ShowDialog=666", "Logging=YES" - отладочные параметры. Если установлен параметр "Logging", вирус создает в каталоге Windows файл WINAPP.LOG и записывает в него сообщения:

Started. - при запуске зараженного файла Loaded OK. - при выделении памяти InfectBoot = start - перед созданием VIDACCEL.EXE InfectBoot = done - после создания VIDACCEL.EXE Running application - перед запуском файла-носителя Application finished - после запуска файла-носителя Terminate requested - при нажатии на соответствующую кнопку, Paused если окно вируса - видимое (см. ниже) Resumed Remove from memory requested !!! Destruction requested !!! Executing PIF : - при запуске Borland Pascal PM Failed : No compiler - при работе полиморфик-генератора PM started PM is using temp dir PM Failed : Out of diskspace PM Failed : 1st compile failed 1st compile OK.

Содержание  Назад  Вперед




Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий