Энциклопедия компьютерных вирусов
Win.Pin
Очень опасный резидентный Win16-вирус. Заражает Win16 NE EXE-файлы и DOS EXE-файлы, при этом в обоих случаях шифрует свой код полиморфным
кодом. При заражении файлов вирус записывается в их конец и изменяет необходимые поля в заголовках файлов, при этом в Win16 NE EXE-файлах вирус для своего кода создает дополнительную секцию. Процедура заражаения NE-файлов содержит ошибки и вирус в некоторых случаях портит их.
При заражении файлов вирус проверяет системную дату и время и, начиная с 16-го числа ежемесячно, в зависимости от системного счетчика секунд стирает системные данные на флоппи-диске A:
Для того, чтобы остаться резидентно в памяти Windows, вирус создает в системном каталоге Windows файл WINP16.386, который является VxD-драйвером и содержит основные процедуры заражения. Вирус затем регистрирует этот драйвер в файле SYSTEM.INI в разделе [386Enh] командой "device=", в результате чего при каждом запуске Windows загружает вирусный драйвер. Запись в файле SYSTEM.INI выглядит следующим образом:
[386Enh] device=winp16.386
При загрузке драйвер перехватывает DOS INT 21h (DOS-функции) и при запуске каждого файла ищет и заражает DOS EXE-файлы и Win16 NE EXE-файлы в текущем каталоге. Вирус проверяет имена файлов и не заражает: APV.EXE (опечатка AVP.EXE?), SCAN*.EXE, TBAV*.EXE, DRWE*.EXE, AIDS*.EXE, KRNL*.EXE, WIN3*.EXE, VICT*.EXE.
VxD-драйвер вируса работоспособен не только под Win16, но и под Win9x, что позволяет вирусу существовать в 32-битных версиях Windows и заражаеть NE-файлы, которые присутствуют в каталогах Win9x.
