Энциклопедия компьютерных вирусов
Win95.SV
Неопасный резидентный Windows-вирус. Является "резидентным на время процесса", т.е. копия вируса выгружается из памяти вместе с кодом программы-носителя, когда она прекращает работу.
Вирус заражает выполняемые файлы Windows (PE EXE), при этом создает в конце файла новую секцию, записывается в нее и изменяет необходимые поля PE-заголовка, включая стартовый адрес программы. Процедура заражения содержит ошибки, в результате чего многие зараженные файлы оказываются испорченными и при их запуске Windows выводит стандартное сообщение об ошибке в приложении.
При запуске зараженного файла вирус сканирует ядро Windows и определяет адреса необходимых ему функций (поиск файлов, чтение/запись и т.д.), затем свою процедуру поиска и заражения файлов объявляет обработчиком системного таймера с интервалом вызова 5 секунд, и затем возвращает управление программе-носителю.
В результате вирус остается в памяти Windows как часть зараженной программы, а поиск и заражение файлов происходит в фоновом режиме параллельно с работой зараженной программы: один раз в 5 секунд эта процедура получает управление, сканирует подкаталоги дисков, ищет EXE-файлы и заражает их. При каждом вызове этой процедуры заражается не более двух файлов.
Вирус создает файл C:\SV.LOG и записывает туда отчет о своей работе (список заражаемых файлов).
