Энциклопедия компьютерных вирусов
Win95.Yurn
Заражает выполняемые файлы Windows95 (PE EXE - Portable Executable) и системный файл KERNEL32.DLL. При заражении записывается в конец файла: увеличивает размер последней секции файла, дописывает туда свой код и модифицирует PE-заголовок. Для того, чтобы получить управление при запуске зараженных EXE-файлов, вирус изменяет адрес точки входа (EntryPoint). При заражении KERNEL32.DLL использует более сложный прием: ищет в файле процедуру GetFileAttributesA и записывает в нее команду перехода на свой код CALL_Virus. В результате адрес точки входа при заражении KERNEL32.DLL не меняется, но вирус перехватывает управление при обращениях к атрибутам файлов. При запуске зараженного EXE-файла вирус ищет в ядре Windows95 одиннадцать подпрограмм и использует их при поиске и заражении файлов:
GetTickCount, GetWindowsDirectory, SetFileAttributes, CreateFileA, SetFilePointer, ReadFile, WriteFile, FindClose, GetSystemDirectoryA, GetFileAttributesA, CopyFileA
При вызове перечисленных подпрограмм вирус использует прямые вызовы ядра Windows. Затем вирус ищет файл KERNEL32.DLL в каталоге SYSTEM, копирует его в каталог WINDOWS, заражает скопированный файл и возвращает управление программе-носителю. При загрузке зараженного KERNEL32.DLL вирус остается в памяти Windows как часть ядра, перехватывает системную процедуру GetFileAttributesA и затем заражает PE EXE-файлы при чтении их атрибутов. Вирус содержит ошибки и может испортить заражаемые файлы и завесить систему. Содержит строки:
0 [YURN] by Virogen 0 \KERNEL32.DLL
