Энциклопедия компьютерных вирусов

         

Win95.MrKlunky


Резидентный (VxD) Win95-вирус. Заражает файлы и систему способом, практически совпадающим с "Win95.Punch"

. При запуске зараженного файла создает на диске файл MRKLUNKY.VXD, записывает туда свой VxD-дроппер и регистрирует его в системном окружении Win95. При загрузке Win95 загружает этот VxD в память, вирус перехватывает вызовы IFS API и заражает PE EXE-файлы при их открытии. При заражении файлов вирус создает новую секцию с именем "MrKlunky", правит PE-заголовок и записывает себя в конец файла. Опознает уже зараженные файлы по идентификатору 00F00F00h, который записывает в DOS EXE-заголовок по адресу 28h. Содержит ряд ошибок, например не всегда записывает в заголовок зараженных файлов новый адрес точки входа. В результате код вируса присутствует в файле, однако никогда не получает управления. Вирус использует прямые вызовы в ядро Win95, что может привести к системным сообщениям об ошибке, если данная версия Win95 "несовместима" с вирусом. Создает файл C:\LOG.LOG и записывает туда имена зараженных файлов. Содержит строки, большая часть из которых является именами функций Win95:

MRKLUNKY MrKlunky.VxD KERNEL32 CloseHandle CreateFileA FlushFileBuffers GetLastError GetSystemDirectoryA GetWindowsDirectoryA SetEndOfFile WriteFile ADVAPI32 RegCloseKey RegCreateKeyExA RegSetValueExA Start SYSTEM\CurrentControlSet\Services\VxD\MrKlunky StaticVxD GetProcAddress GetModuleHandleA MRKLUNKY MRKLUNKY_DDB



Содержание раздела