Энциклопедия компьютерных вирусов
W95.Gara
Опасный резидентный Win95/98-вирус. Заражает выполняемые файлы Windows (PE EXE). При запуске зараженного файла вирус при помощи программных приемов переключает свой код с уровня привилегий приложения на уровень ядра Windows (Ring3 -> Ring0), перехватывает файловые запросы Windows (IFS API) и остается резидентно как системный драйвер Windows (VxD-драйвер).
Вирус перехватывает открытие файлов, отфильтровывает PE EXE-файлы и заражает их. При заражении вирус увеличивает размер последней секции файла, записывает туда свой код и необходимым образом модифицирует PE-заголовок файла.
По 31-м числам вирус стирает блок системной памяти Windows, обычно зарезервированный под видео-память. Однако в зависимости от условий вирус может затереть часть ядра Windows, что приведет к краху системы.
Вирус содержит строку-"копирайт":
[Garaipena by Billy Belcebu/DDT]
