Энциклопедия компьютерных вирусов
Win32.Heretic
Безобидный резидентный Windows-вирус. Размножается в среде Windows32 (95/98/NT), заражает PE EXE-файлы и KERNEL32.EXE. Остается резидентно в памяти Windows и заражает запускаемые PE EXE-файлы.
При запуске зараженного EXE-файла управление передается на код вируса, который сканирует ядро Windows (таблицу экспортов KERNEL32.DLL) и определяет адреса необходимых ему функций работы с файлами (CloseHandle, CopyFileA, CreateFileA, CreateFileMappingA и т.д.)
Вирус инсталлирует свою копию в систему за два шага: сначала заражает KERNEL32.DLL в системном каталоге Windows и возвращает управление программе-носителю. При этом в системе оказывается зараженным только один файл - KERNEL32.DLL. При следующей перезагрузке Windows загружает в память зараженный KERNEL32.DLL, вирус получает управление как часть ядра Windows и активизирует свои процедуры заражения EXE-файлов.
При заражении KERNEL32.DLL вирус записывает свой код в конец файла и модифицирует два адреса в таблице экспортируемых функций: адреса процедур CreateProcessA и CreateProcessW.
Для того, чтобы записать свой код в KERNEL32.DLL (который можно открыть только на чтение, поскольку Windows блокирует запись в файлы, которые выполняются в текущий момент), вирус использует достаточно необычный прием: он заставляет Windows "проапдейтить" KERNEL32.DLL. Для этого вирус создает копию файла KERNEL32.DLL в корневом каталоге Windows, заражает его, и записывает в системные файлы инструкции "апдейта" оригинального файла KERNEL32.DLL зараженной копией. При очередной перезагрузке Windows выполняет эти инструкции и KERNEL32.DLL оказывается зараженным.
При загрузке зараженного KERNEL32.DLL процедуры CreateProcessA и CreateProcessW оказываются перехваченными вирусом: обе они указывают на его код, и вирус, таким образом, получает все системные вызовы запуска файлов. При выполнении PE EXE-файлов вирус записывает свой код в их конец "традиционным" способом: увеличивает размер последней секции, записывает туда свою копию и модифицирует стартовый адрес программы.
Вирус никак не проявляется. Содержит строки:
[nop] 4 life.. lapse, vg and jp own you! :) [Heretic] by Memory Lapse For my thug niggaz.. uptown baby, uptown.
