Энциклопедия компьютерных вирусов
Win95.Zerg
Опасный резидентный стелс
-вирус. Работает в среде Windows95/98. Остается в системе резидентно, перехватывает функции работы с файлами и заражает PE EXE-файлы при обращениях к ним. Является первым "полноценным" стелс-Windows-вирусом: при активном вирусе факт заражения невозможно заметить при помощи стандартных Window и DOS-программ. При обращениях к файлам вирус "подставляет" их первоначальное содержимое и размер. Код стелс-процедур вируса содержит ошибки, и вирус по этой причине часто завешивает систему.
Вирус содержит текст:
-=#[Zerg v0.1 Beta]#=- The World First Full Stealth virus for Win95/98, Written by Dark Slayer in Keelung, Taiwan (ROC). This is a Demo and Lame virus. It's Show that How to Make a Full Stealth virus on IFSMgr, and Directly Call into FSD without the Fucking IFSMgr_Ring0_FileIO. It's not Finished yet at All, Keeping watch My Next virus, Next Generation... It'll be A Partition/BOOT/COM/EXE/NEXE/PEXE/Polymorphic/Full Stealth/Multi-Platform Infector. Greeting to all Virus Writer, Bye! ^_^
При запуске зараженного файла вирус получает управление и инсталлирует себя в систему. Для этого он переносит свой код в область ядра Windows (переключается из Ring3 в Ring0), выделяет себе необходимое количество системной памяти, перехватывает IFS API и обрабатывает функции работы с файлами.
Вирус перехватывает 9 функций открытия/закрытия, чтения/записи и поиска файлов. При закрытии PE EXE-файлов вирус записывается в их конец, при записи в зараженные файлы вирус лечит их. При вызове остальных функций вирус таким образом модифицирует системные данные, что файлы "выглядят" незараженными.
