Энциклопедия компьютерных вирусов

         

Win95.Vlades


Файловый 30-килобайтный Win95-вирус, комбинированный с троянским конем типа "PSW". Вирус написан на языке Delphi; часть вируса, внедряемая в заражаемые файлы, написана на ассемблере. Вирус никак не проявляет своего присутствия в системе, однако содержит ошибки в процедуре заражения, что может привести к стандартным сообщениям Windows об ошибке при запуске программ. Вирус содержит закодированную строку: "VladBEST".

При заражении файлов вирус записывает свое тело в конец последней секции файла, предварительно увеличив ее размер. В конец первой секции файла записывается короткая процедура (если расстояние между секциями содержит блок неиспользуемых данных достаточного размера). Эта процедура получает управление при запуске файлов, считывает тело вируса из последней секции, записывает его в файл KERNEL.DLL в системный каталог Windows и затем запускает этот файл на выполнение.

При запуске из KERNEL.DLL вирус остается в памяти Windows как скрытое приложение, ищет PE EXE-файлы в каталоге Windows, затем в подкаталогах всех доступных дисков от C: до Z: и заражает их.



Содержание раздела