Энциклопедия компьютерных вирусов

         

Запуск зараженного EXE-файла


Вирус в DOS EXE-файлах зашифрован командой NOT (XOR 0FFh), поэтому при запуске он первым делом расшифровывает свой код, используя несложный антиотладочный прием. Затем ищет на диске Windows, для чего пытается открыть пять файлов:

C:\WINDOWS\SYSTEM.INI C:\WIN\SYSTEM.INI C:\WIN31\SYSTEM.INI C:\WIN311\SYSTEM.INI C:\WIN95\SYSTEM.INI

Если таких файлов нет, вирус не заражает систему. В противном случае он записывает свой VxD-дроппер в каталог SYSTEM обнаруженной копии Windows и вставляет в файл SYSTEM.INI команду загрузки VxD:

DEVICE=GOLLUM.386

Эта команда записывается в секцию [386Enh]:

SYSTEM.INI до и после заражения

... ... [386Enh] [386Enh] mouse=*vmd DEVICE=GOLLUM.386 ... mouse=*vmd ...



Содержание раздела