Энциклопедия компьютерных вирусов
Запуск зараженного PE-файла
При запуске зараженного Win95 PE-файла вирус расшифровывает свой код при помощи 46-байтного расшифровщика и, так же как и в случае DOS COM-файлов, записывает на диск свой файл-дроппер C:\CLINT.VXD. Однако для запуска дроппера вирус использует другой прием. Сначала вирус поиском во внутренних структурах Windows95 определяет в памяти Windows95 адреса необходимых функций (GetModuleHandleA, GetProcAddress), handle KERNEL32, после чего вирус получает доступ к файловым и прочим функциям WIndows: CreateFileA-, WriteFile-, ReadFile-, SetFilePointer-, CloseHandle-, GetLocalTime-, LocalAlloc. Затем вирус проверяет, запущен ли файл \\.\CLINT (имя в формате VxD-драйверов Windows95). Если нет, вирус при помощи функции CreateFileA создает файл \\.\C:\CLINT.VXD и распаковывает туда код своего VxD-дроппера. Затем вирус запускает VxD на исполнение, используя документированный формат функции CreateFileA, и возвращаетуправление программе-носителю. При запуске из PE-файла вирус также проверяет системную дату - 10-го апреля вирус выводит MessageBox с текстом:
Clinton Haines Memorial Virus by Quantum/VLAD and Qark/VLAD Clinton Haines, also known as Harry McBungus, Terminator Z and Talon died of a drug overdose on his 21st birthday, April the 10th, 1997. During his time as a virus writer he wrote the No Frills family, X-Fungus, Daemon and 1984 viruses. He was a good friend to VLAD and so we write this virus in his honour. We hope it's good enough to do him justice.
VLAD Remembers. Rest in Peace
