Энциклопедия компьютерных вирусов
в зависимости от системных событий
Безобидный резидентный зашифрованный Win32-вирус, заражает PE EXE-файлы. Инсталлирует себя в память Windows и в зависимости от системных событий ищет файлы в "C:\Program Files" и других каталогах диска и заражает их. При заражении дописывает свой код в конец последней секции файла, предварительно увеличив ее размер, и изменяет стартовый адрес в PE-заголовке. По причине ошибок не размножается под WinNT. Никак не проявляется, содержит строку-"копирайт":
Star0 - Magic Voodoo
При запуске зараженного файла вирус расшифровывает свой код, сканирует ядро Windows и ищет адреса необходимых функций (GetSystemTime, CreateThread, FindFirstFileA, FindNextFileA и прочие). Затем вирус выделяет себе блок памяти Windows, копирует туда свой код и перехватывает функцию ExitProcess. Для этого вирус опять сканирует ядро Windows и патчит его. Вирус использует многозадачность Windows: вирусный обработчик ExitProcess получает управление непосредственно из ядра Windows, в то время как процедура поиска и заражения файлов работает в параллельной нитке (thread).
