Энциклопедия компьютерных вирусов

         

Bolzano.4096.a,b,c,d,e,f


"Реальная" длина вирусов данного подсемейства (длина рабочего кода и данных) составляет около 2Kb, однако при заражении файлов вирусы дописывают к ним всегда 4096 байт.

Ищут файлы для заражения только в подкаталогах текущего диска.

Начиная с версии 'b' вирусы "Bolzano" патчат код файлов \NTLDR\WINNT\SYSTEM32\NTOSKRNL.EXE (системные файлы WinNT). Патч NTLDR отключает проверку целостности (контрольная сумма) модуля NTOSKRNL при его загрузке. Патч NTOSKRNL производится таким образом, что процедуры проверки прав доступа пользователей всегда возвращают значение "полный доступ". В результате вирус отключает на зараженных машинах разграничение доступа к ресурсам WinNT, что позволяет вирусу заражать все EXE-файлы на WinNT вне зависимости от прав доступа текущего пользователя.

Начиная с версии 'с' вирусы "Bolzano" также уничтожают все файлы в Internet-каталогах Windows:

\WINDOWS\Cookies\*.* \WINNT\Cookies\*.*



Содержание раздела