Энциклопедия компьютерных вирусов
Win95.Jacky
Безобидный нерезидентный Win95/NT-вирус. Его длина - 1440 байт, однако при заражении файлов он выравнивает их на границу секции, и длины файлов увеличиваются на значение, большее 1440. При запуске вирус сканирует ядро Win95/NT и определяет адреса системных функций работы с файлами (см. ниже список функций), затем ищет NewEXE-файлы (Portable Executable) и записывается в их конец. Является первым известным мне вирусом, использующим новый прием заражения PE-файлов. При заражении вирус не создает в файле новую секцию, но увеличивает размер последней секции файла, изменяет ее характеристики (флаги) и записывает туда свой код. В результате в файле оказываются измененными только адрес точки входа, размер и характеристики последней секции. Также является первым известным мне Win95-вирусом, работающим без проблем и ошибок на моей тестовом (Windows95) компьютере. Под NT - не пробовал. Содержит зашифрованные строки, часть которых является списком используемых вирусом функций:
KERNEL32 GetModuleHandleA GetProcAddress *.EXE CreateFileA CreateFileMappingA CloseHandle UnmapViewOfFile MapViewOfFile FindFirstFileA FindNextFileA FindClose SetFileAttributesA SetFilePointer SetEndOfFile SetFileTime
To My d34d fRi3nD c4b4n4s.. A Win/NT/95 ViRuS v1.00. By: j4cKy Qw3rTy / 29A. jqw3rty@cryogen.com
