Энциклопедия компьютерных вирусов
Win32.Redemption
Неопасный резидентный Windows-вирус. Размножается только под Win32, но заражает при этом не только PE EXE-файлы Win32, но также и DOS EXE и NE EXE-файлы Win16. Для этого вирус увеличивает размер DOS-stub программы до необходимого размера и таким образом вирус "прячет" код заражаемого файла (см. также "Win32.Cerebrus"). Дополнительно к этому вирус при помощи собственных процедур пакует код заражаемого файла таким образом, что размер файлов после заражения не увеличивается.
Для того, чтобы вернуть управление программе-носителю, вирус распаковывает его код во временный файл во временном каталоге Windows и выполняет его.
При запуске зараженного файла вирус ищет и заражает файлы в корневом и системном каталогах Windows, затем в текущем каталоге. Для того, чтобы остаться резидентно в памяти, вирус оставляет свой код как "скрытый" процесс, периодически ищет EXE-файлы на всех дисках и заражает их.
29 октября вирус создает файл 29A.BMP, записывает туда текст "J.Q.29A" и регистрирует его как системные "обои".
Вирус содержит строку-копирайт:
(c) Win32.REDemption (C ver.1.0) by JQwerty/29A
Демонстрации вирусных эффектов:
| redempti.gif |
