Энциклопедия компьютерных вирусов
Win32.Kenston
Неопасный нерезидентный Win32-вирус. Зашифрован несложным XOR-циклом. Ищет PE EXE-файлы в дереве каталогов текущего диска и записывается в их конец. При заражении увеличивает размер последней секции, дописывает туда свой код и модифицирует адрес точки входа. Для того, чтобы получить доступ к необходимым функциям Win95 сканирует код и данные KERNEL32. Для определения уже зараженных файлов записывает в DOS-заголовок файла символ 'a'.
Большинство процедур вируса работают под всеми версиями Win32 — Win95/98/NT, однако в подпрограмме заражения содержится небольшая неточность, в результате которой большинство зараженных файлов оказываются неработоспособными под WinNT.
Вирус содержит строку:
Boles and Manning are arrogant facists. They have no computer sk1llz and KENSTON HIGH SCHOOL's computers are 0wn3d. I AM BACK KOONS YOU MOTHERFUCKER dowN wiTh KenSTON..... yOU tRIED tO rID yOUrSELf oF mE BefoREbUT fAILED HAHAHAHAHAHAHAHAHAHAHAHAHAHAHA
Также содержит строку, которая является списком функций, используемых вирусом:
LoadLibraryA GetProcAddress FindFirstFileA FindNextFileA FindClose SetFileAttributesA SetFileTime CreateFileA ReadFile WriteFile SetFilePointer CloseHandle SetCurrentDirectoryA GetCurrentDirectoryA
