Энциклопедия компьютерных вирусов

         

Загрузка VxD-драйвера


При запуске CLINT.VXD вирус обрабатывает необходимые системные VxD-вызовы (Control Messages), перехватывает DOS IFS (Installable File System) API и заражает COM- и EXE-файлы при их открытии. Для подготовки данных, необходимых для заражения файлов, вирус открывает файл C:\CLINT.VXD, считывает оттуда свой код и упаковывает его в заранее отведенный блок памяти. Затем вирус закрывает файл C:\CLINT.VXD и уничтожает его. Вирус также уничтожает в системном реестре информацию и данные, используемые некоторыми антивирусами: Регистр '\System\CurrentControlSet\Services\Vxd' - уничтожает ключи 'VETMON95', 'VETMACRO', 'NAVAP', 'virusafe', 'WIMMUN32'. Секция '\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' - уничтожаются 'NORTON AUTO-PROTECT', 'TBAV for Windows 95', 'Anywhere Antivirus Validation', 'Vshwin32EXE', 'ViruSafe'. Секция '\SOFTWARE\McAfee\ScreenScan' - уничтожаются 'bEnableScreenScan', 'bScanAllFiles', 'bScanSubDirs'. '\SOFTWARE\Cybec\VET Antivirus for Win32\' - уничтожаются 'Actions\InfectedAction', 'Actions\SuspectAction', 'Memory\Enabled', 'Resident\FileCheck', 'Resident\InfectedAction', 'Resident\SuspectAction', 'Scanning\Scan All Files', 'Scanning\Scan Type', 'Scanning\Skip Renamed', 'Scanning\Subfolders' и устанавливается новый 'Scanning\Extension List': 'bin, dll, doc, drv, ovl, sys, dot'.



Содержание раздела