Энциклопедия компьютерных вирусов
в их конец. Заражает систему
Заражает Win95 EXE-файлы (формата PE - Portable Executable). Является первым известным "резидентным" Win95-вирусом: загружается в систему как VxD-драйвер, перехватывает обращения к файлам и записывается в их конец. Заражает систему в два этапа. При запуске зараженного EXE-файла вирус записывает на диск VxD-файл (дроппер вируса), содержащий код вируса в формате VxD, и регистрирует этот VxD в файле SYSTEM.INI. Затем возвращает управление программе-носителю и более никак не проявляется вплоть до следующей перезагрузки компьютера. Когда Win95 загружается в очередной раз, в системную память загружаются все VxD-драйверы, описанные в SYSTEM.INI, включая VxD с кодом вируса. Вирус остается резидентно и затем заражает открываемые EXE-файлы формата PE. Вирус имеет несколько ошибок, некорректно заражает некоторые системные файлы и в результате вызывает большое число системных сообщений об ошибках. Скорее всего, этот вирус не будет широко распространен и не успеет нанести какого-либо существенного вреда. С другой стороны, ошибки в вирусе могут быть исправлены, и тогда его последующие модификации окажутся более "живучими". Содержит несколько текстовых строк. Часть из них используется при обращении к системным ресурсам и функциям:
KERNEL32 CreateFileA WriteFile ReadFile SetFilePointer CloseHandle
Другие строки используются при поиске и модификации системных файлов и заражении системы:
c:\win95\system.ini c:\windows\system.ini c:\win95\system\vvfs.vxd c:\windows\system\vvfs.vxd
В PE-заголовок вирус записывает секцию с именем:
QuantumG
Последняя строка - подпись автора вируса:
Beating You to the Punch in the '97 (almost)
