Энциклопедия компьютерных вирусов
Win32.Levi
Неопасный нерезидентный зашифрованный Windows-вирус. При запуске ищет PE EXE-файлы Windows32 в текущем каталоге и записывается в их конец. Начиная с 30 "поколения" вирус выводит сообщение в зависимости от версии вируса:
"Levi.3040":
Win32.Wildfire (c) 1998 Magnic I am/I can - The Wildfire virus. -d e c o d e- idwhereamif73hrjddhffidosyeudifr ghfeugenekasperskydjfkdjisfatued 938rudandmydickisgrowingehdjfggk
"Levi.3236":
Hey stupid ! Win32.Leviathan (c) 1999 by Benny This is gonna be your nightmare... 30th generation of Leviathan is here... beware of me ! Threads are stripped, ship is sinkin'...
Greetz: Darkman/29A Super/29A Billy Belcebu/DDT and all other 29Aers...
Special greet: Arthur Rimbaud
New milenium is knockin on the door... New generation of viruses is here, nothing promised, no regret.
При заражении файлов вирус запускает из своего процесса семь нитей. Каждая нитка процесса выполняет достаточно ограниченный набор функций и передает управление следующей нитке: первая проверяет системные условия и активизирует вторую, которая ищет файлы. Третья нить затем открывает их и передает четвертой, которая проверяет структуру файла, и т.д.
Для того, чтобы получить доступ к функциям ядра Windows, вирус сканирует импорты заражаемых файлов и ищет в них ссылки на функции GetModuleHandleA и GetModuleHandleW. Если таковые не обнаружены, вирус не заражает файл. В противном случае вирус запоминает их адреса и при запуске использует их для определения адресов Kernel32.
