Энциклопедия компьютерных вирусов

         

Тестирование


Для заражения файлов использовалась версия Windows95 4.00.950. Зараженные EXE-файлы записывали VxD-файл и модифицировали SYSTEM.INI без всяких проблем и побочных эффектов (зависание системы, сообщения Windows об ошибках). Проблемы возникли при загрузке Win95 с VxD-дроппером. Win95 отказалась грузится, объяснив причину своего недовольства стандартным синим экраном сообщения о системной ошибке и примерно таким текстом:

A fatal exception 0E has occurred at xxx:xxxxxx. The current application will be terminated.

Затем загрузка продолжилась, но после очередного сообщения "A fatal exception 0C ..." система окончательно зависла. После перезагрузки в DOS в каталоге Win95 был обнаружен зараженный файл USER32.DLL, который был заменен на незараженный и объявлен Read-Only. На этот раз Win95 загрузилась, хотя несколько раз было выдано сообщение:

This program has performed an illegal operation and will be shut down. If the problem persists, contact the program vendor.

(Интересно, кто является vendor'ом зараженной программы - автор вируса?) После перезагрузки в DOS было обнаружено еще несколько зараженных файлов: EXPLORER.EXE в каталоге Win95 и COMCTL32.DLL, MPREXE.EXE, MPRSERV.DLL, MPR.DLL, MSPWL32.DLL, SHELL32.DLL в каталоге SYSTEM. Зараженные файлы были восстановлены, а метка Read-Only была поставлена на все EXE- и DLL-файлы. Этого оказалось мало - при очередной попытке "под нож" попали файлы DESK.CPL и WINSPOOL.DRV (оба являются файлами формата PE EXE). После чего все файлы формата PE EXE были объявлены Read-Only и система загрузилась нормально. Затем вирус без проблем заразил несколько обычных приложений (например, WRITE.EXE). Однако при их запуске Win95 в некоторых случаях объявляла об "illegal operation", но зараженные программы работали вполне нормально. Проблемы возникли при заражении специальных небольших файлов-насадок ("дрозофил"), вирус увеличил их размеры до 9Mb (!).



Содержание раздела