Энциклопедия компьютерных вирусов
Заражение EXE-файла
При заражении файла вирус проверяет его формат и заражает только EXE-файлы (MZ в начале файла), которые имеют формат Portable Executable (PE). Затем он считывает и корректирует необходимые поля PE-заголовка, добавляет в PE-заголовок описание одной новой секции с именем "QuantumG", записывает свой код и данные (всего - 10185 байт) в конец файла в только что созданную секцию. Вирус также правит секцию ресурсов и описание ресурсов для того, чтобы иметь возможность обращаться к функциям KERNEL32 при запуске зараженного EXE-файла. Для того чтобы не заражать файлы дважды, он проверяет имя последней секции файла и сравнивает ее со строкой "QuantumG".
