Неопасный резидентный Windows-вирус. Заражает выполняемые файлы Windows (PE EXE), при этом увеличивает размер последней секции, записывается в нее и изменяет необходимые поля PE-заголовка. Вирус не меняет стартовый адрес программы; вместо этого он записывает в нее команды передачи управления на свое тело (JmpVirus).
При запуске зараженного файла вирус ищет и заражает PE-файлы в текущем каталоге, а затем в каталоге Windows или в системном каталоге Windows. Затем вирус перехватывает 15 функций Windows (поиск и открытие файлов, работа с процессами и т.п.), остается в памяти Windows как часть зараженной программы и вызове этих функций ищет и заражает PE EXE-файлы.
Вирус является "резидентным на время процесса", т.е. копия вируса выгружается из памяти вместе с кодом программы-носителя, когда она прекращает работу. Вирус также в состоянии перехватить только те функции Windows, которые используются зараженной программой (т.е. которые программа экспортирует из ядра Windows).
Уничтожает антивирусный файл данных ANTI-VIR.DAT.
24 сентября выводит сообщение и завешивает компьютер:
TOTILIX Presents... This >TOTILIX< Virus was assembled at the city of Oporto Portugal! gas_par@hotmail.com (c) 1999 G@SP@R aka Sexus
Демонстрации вирусных эффектов:
oporto.gif |