Энциклопедия компьютерных вирусов
Запуск вируса
При запуске вирус выделяет блоки системной памяти, в которые считывает из зараженного файла свой код (этот код затем используется вирусом при заражении других файлов), и создает в каталоге Windows свой "дроппер" - файл VIDACCEL.EXE длиной 87438 байт, содержащий код вируса "в чистом виде". Затем вирус регистрирует этот файл в файле настроек Windows WIN.INI в секции [windows]: дописывает имя файла к строке "load=". В результате Windows при старте будет запускать зараженный файл VIDACCEL.EXE, и вирус соответственно будет активизироваться при каждом запуске Windows. Для того чтобы остаться "резидентно" в системе, вирус создает скрытое (невидимое) окно, которое перехватывает несколько системных событий (включая таймер), и запускает стандартный цикл обработки сообщений Windows. При вызовах таймера вирус в зависимости от своих счетчиков и флагов ищет EXE-файлы и заражает их. Все эти процедуры реализованы на стандартных функциях Pascal и с точки зрения системного программирования не содержат ничего экстраординарного. Подробнее: при инсталляции в систему runtime-библиотека Pascal создает и регистрирует класс окна (системные вызовы REGISTERCLASS, CREATEWINDOW и SHOWWINDOW) и устанавливает у этого окна параметр HIDDEN. Вирус затем запускает новый таймер Windows (вызов SETTIMER), устанавливает период задержки этого таймера в 10 секунд и регистрирует процедуру обработки таймера wmTimer (эта процедура получает управление каждые 10 секунд), затем запускает цикл обработки сообщений (GETMESSAGE, TRANSLATEMESSAGE, DISPATCHMESSAGE) и остается в системе до тех пор, пока этот цикл не получит команду закрытия (wmClose), т.е. при завершении работы Windows.
