Энциклопедия компьютерных вирусов

         

Win95.SK


Резидентный Windows-вирус. Размножается под Windows95/98: инсталлирует себя в системную память, перехватывает файловые функции Windows и заражает выполняемые файлы Windows (PE-файлы - Portable Executable). Помимо PE-файлов вирус также заражает HLP-файлы Windows - вирус записывает в них скрипт-программу, которая при активизации HLP-файла (т.е. при вызове подсказки Windows) записывает "дроппер" вируса на диск и запускает его на выполнение. Вирус также записывает свои файлы-дропперы в архивы четырех типов: RAR, ZIP, ARJ и HA. Вирусные дропперы в архивах и HLP-файлах имеют формат выполняемых COM-файлов DOS и запускаются на выполнение в DOS-окне, однако они так же, как и PE EXE-файлы в состоянии инсталлировать копию вируса в системную память Windows.

Код вируса в PE-файлах и DOS-дропперах зашифрован полиморфик-кодом. В случае PE-файлов вирус использует технологию "без точки входа" (EPO - "Entry Point Obscuring"): вирус не модифицирует стартовый адрес программы и не записывает процедуру JMP_Virus перехода на свой код по стартовому адресу, но помещает ее по случайно выбранному адресу в теле заражаемой программы. В результате основная процедура вируса получает управление не в момент запуска зараженной программы, а только в том случае, если управление получает соответствующая подпрограмма файла-носителя, которая содержит в своем теле процедуру JMP_Virus.

Вирус является "медленным": при заражении файлов он проверяет различные условия и в результате заражает лишь очень незначительное количество файлов. В стандартной поставке Windows95/98 зараженными могут оказаться всего около 10 EXE-файлов, да и то только в том случае, если совпадут прочие условия, проверяемые вирусом при заражении. То же относится и к архивам и HLP-файлам: вирус заражает далеко не все из них и делает это крайне редко: только если за предыдущие две минуты не было ни одного обращения ни к EXE-файлам, ни к архивам, ни к HLP-файлам.

Вирус крайне опасен: при запуске или открытии антивирусов ADINF, AVPI, AVP, VBA или DRWEB вирус уничтожает все файлы на всех доступных дисках с C: до Z: включительно и затем завешивает компьютер. Вирус также в любом случае удаляет файл COMMAND.PIF.

Вирус содержит ошибки, которые под некоторыми конфигурациями Windows являются летальными: Windows выдает стандартное сообщение об ошибке и дальнейшая работа Windows становится нестабильной.

При заражении системной памяти вирус в зависимости от своего случайного счетчика выводит текст:

<C> 1997 VBA Ltd. E-mail:support@vba.minsk.by



Содержание раздела