Энциклопедия компьютерных вирусов
Win32.Weird
Неопасный резидентный Win32-вирус. Заражает PE EXE-файлы Windows, при этом записывается в конец файлов в их последнюю секцию (предварительно увеличив ее размер) и модифицирует поля PE-заголовка. Вирус в зараженных файлах состоит из двух блоков. Первый блок (стартер) является небольшой (около 1Kb) программой, которая при запуске зараженного файла расшифровывает вторую (основную) часть вируса, "сбрасывает" ее в виде PE EXE-файла в каталог Windows и запускает ее на выполнение.
Вторая часть вируса имеет размер более 10Kb. При старте она остается в памяти Windows как скрытое приложение, запускает свой процесс с низким приоритетом, периодически ищет PE EXE-файлы в подкаталогах дисков и заражает их.
Вирус также заражает файл EXPLORER.EXE. При этом он копирует его с именем EXPLORER.E, заражает эту копию и записывает в файл WININIT.INI команду "апдейта" EXPLORER.EXE на зараженную копию. Таким образом при следующей загрузке Windows зараженным оказывается EXPLORER.EXE.
Вирус также содержит функции скрытого адмиинистрирования системы ("Backdoor"). По сравнению с известными backdoor-утилитами вирус поддерживает очень небольшой список функций работы с файлами: принять файл на компьютер, запустить или удалить файл, передать файл с компьютера.
Вирус содержит строку-"копирайт":
#Coded by Weird#
