Энциклопедия компьютерных вирусов
Проявления
При инсталляции в память Windows вирус проявляется тремя способами. Первый: вирус проверяет системные переменные окружения (environment) и в зависимости от их значения переключается в "отладочный режим".
Второй: в зависимости от текущего времени (значения секунд) выводит MessageBox:
Третий: в зависимости от счетчика случайных чисел (который также зависит от системной даты и времени) с вероятностью 1/16 создает в системном каталоге Windows файлы OEMINFO.INI и OEMLOGO.BMP и записывает в них информацию и картинку, которая выводится при вызове MyComputer/Properties:
BMP-файл содержит картинку с текстом "HARRIER from Darkland":
Файл OEMLOGO.INI содержит инструкции:
[General] Manufacturer=TechnoRat Model=Very large life zone for Harrier
[Support Information] line1=Today the virus is not the virus, line2=but the part of operating system. . . line3=(C) by 95-th Harrier from DarkLand line4=--- line5=The pretty LOGO picture was created line6=by PolyGris and LionKing. Main idea line7=and code of all versions was developed line8=by me - TechnoRat
"Отладочный режим" вируса активизируется в том случае, если в Environment присутствует специфическая строка ("Variable=Value"). Вирус определяет ее по достаточно короткой CRC-сумме, развертка которой дает несколько миллионов "читабельных" вариантов.
При включенном "отладочном режиме" вирус выдает MessageBox:
Затем он перед заражением каждого очередного файла выводит запрос, например:
 |
<- заголовок, имя перехваченной функции Windows
<- сообщение, имя заражаемого файла |
При ответе "OK" вирус заражает файл, при "Cancel" - выводит MessageBox и возвращает управление перехваченной функции:
Как было указано выше, перехватчики функций USER32 и GDI32 используются вирусом для проявления своей "жизнедеятельности". При вызове функции WinHelpA в 16-й раз вирус выводит MessageBox:
"95-th Harrier from DarkLand" God will help! ;-)
При вызовах MessageBoxA вирус в зависимости от текущего времени заменяет первоначальный текст сообщения на один из шести своих вариантов:
System malfunction! VXDs rings overcrossed! CPU mode thunking error! CPU overclocked, cooler device emergency! Help subsystem is damaged! Attention! Bugs inside computer, use SoftIce.
При прочих вызовах вирус сканирует использующиеся в них текстовые строки и заменяет некоторые слова на собственные варианты:
MICROSOFT -> MIcrOSOFT WINDOWS -> WINDOwS BILL GATES -> Gill Bates HARRIER -> Oh! Guys! Is it about me?
