Энциклопедия компьютерных вирусов
Win32.Enumiacs
Неопасный резидентный Windows-вирус. Размножается под Win32: остается в системной памяти Windows и заражает запускаемые PE EXE-файлы. Отключает AVP Monitor: ищет его окно и закрывает его. Более никак не проявляется. Содержит строки:
[Enumiacs] by Virogen [NOP] Enumiacs by Virogen[NOP] ** THIS IS A BETA VERSION NOT INTENDED FOR PUBLIC RELEASE {0.5} **
При запуске зараженных файлов вирус сканирует ядро Windows, определяет адреса необходимых ему функций и заражает системную память Windows. Для этого вирус создает свой файл-"дроппер" с именем ENUMIAC.EXE в системном каталоге Windows, записывает в него свой код и запускает этот файл на выполнение. Затем основная копия вируса возвращает управление программе-носителю.
Файл-дроппер вируса является полноценной PE EXE-программой и содержит код вируса "в чистом виде". При запуске этот файл остается в памяти Windows как скрытое приложение, периодически ищет активные процессы, запоминает их имена и через некоторое время в зависимости от своих счетчиков заражает их дисковые файлы.
При заражении вирус записывается в конец файла: дописывает свой код к концу последней секции файла, увеличивает ее размер и корректирует поля PE-заголовка (адрес точки входа, размер модуля и даже пересчитывает контрольную сумму файла).
