Win95.PoshKill

Опасный резидентный зашифрованный вирус. Работоспособен под Win9x и заражает PE EXE-файлы Windows. При заражении вирус шифрует себя и записывает в конец файла. Вирус не изменяет стартовый адрес программы, вместо этого он записывает в стартовый код программы процедуру, которая передает управление на основной код вируса.

При старте зараженных файлов вирус остается в памяти Windows как системный VxD-драйвер, перехватывает системные вызовы Windows (IFS API) и заражает файлы при их открытии, переименовании и при обращении к их атрибутам. Вирус проверяет имена файлов и не заражает антивирусы и некторые утилиты: TBAV, F-PROT, NAV, AVP, WEB, PAV, DRWEB, DSAV, NOD, WINICE, FORMAT, FDISK, SCANDSKW, DEFRAG.

26 октября вирус вызывает свой видео-эффект: в бесконечном цикле он сдвигает содержимое экрана справа налево. Поскольку эта процедура работает в режиме системного драйвера, то она не может быть остановлена. Также невозможно переключиться в какое-либо из приложений Windows. В результате может произойти потеря несохраненных данных.

Вирус содержит строки:

[IAIDA]

Содержание раздела