Энциклопедия компьютерных вирусов
Загрузка Win95 и перехват IFS API
При загруке Win95 вирус в VxD-файле получает управление, проверяет номер версии DOS IFS Manager (DOS Installable File System Manager), перехватывает вызовы IFS API и остается в памяти Win95 как VxD-драйвер. Перехват IFS API очень похож на перехват INT 21h, используемый DOS'овскими TSR-программами. Этот перехват "вклинивается" между IFS Manager и системными файловыми драйверами. Перехватчик получает управление непосредственно перед системными драйверами и может выполнять практически любые действия на файловом уровне. Вирус перехватывает только одну функцию - открытие файла (OpenFile - IFSFN_OPEN) и, следовательно, заражает файлы при их открытии (при этом VxD перехватывает все вызовы на открытие независимо от "принадлежности" активной программы - Win95 или окно DOS под Win95, и заражает также файлы, открываемые в окне DOS).
