Win32.Giri

Опасный резидентный Windows-вирус. Заражает выполняемые файлы Windows (PE EXE), при этом увеличивает размер последней секции, записывается в нее и изменяет стартовый адрес программы и необходимые поля PE-заголовка.

При запуске зараженного файла вирус ищет и заражает PE-файлы в текущем каталоге и каталоге Windows. Затем вирус перехватывает 6 функций Windows (поиск и открытие файлов), остается в памяти Windows как часть зараженной программы и заражает файлы при обращениях к ним и при их поиске. Вирус является "резидентным на время процесса", т.е. копия вируса выгружается из памяти вместе с кодом программы-носителя, когда она прекращает работу. Вирус также в состоянии перехватить только те функции Windows, которые используются зараженной программой (т.е. которые программа экспортирует из ядра Windows).

В зависимости от счетчика случайных чисел вирус может отключить одну из своих процедур: либо поиск и заражение файлов, либо заражение памяти Windows. Однако одна из этих процедур активизируется в любом случае.

При старте вирус проверяет системную дату и через три месяца после заражения файла случайным образом выбирает и запускает один из своих эффектов.

Эффект 1: вирус создает файл C:\GIRIGAT.BMP, записывает туда изобращение арабского текста и регистрирует этот файл как системные обои.

Эффект 2: вирус в бесконечном цикле случайным образом меняет положение мыши.

Эффект 3: вирус выводит окно информации о системе с текстом, измененным следующим образом (в случае Windows95):

Эффект 4: вирус в бесконечном цикле вызывает команды открытия и закрытия CD-диска.

Демонстрации вирусных эффектов:

giri.gif

Содержание раздела