Энциклопедия компьютерных вирусов
Заражение файлов
Когда управление впервые передается на процедуру заражения файлов вирус ищет в системе и заражает программу-оболочку Windows (ей обычно является EXPLORER.EXE), указанную командой "shell=" в файле SYSTEM.INI. Поскольку оболочка Windows является всегда активной, то вирус не может открыть файл на запись. Эту проблему вирус решает при помощи стандартных возможностей Windows - "апгрейдом" оболочки при перезапуске Windows.
Для этого вирус копирует заражаемый файл с новым именем (у нового файла отличается лишь последний символ расширения имени: .EXE -> .EXF, например). Затем вирус заражает новый файл и записывает в файл WININIT.INI команды замены старого файла-оболочки на зараженный. Файл WININIT.INI автоматически обрабатывается Windows при очередном старте, и зараженный файл замещает первоначальный.
Если оболочка Windows уже заражена, вирус проверяет расширение имени файла, к которому идет обращение, и заражает его. При открытии файлов .EXE, .SCR и .DLL управление передается на процедуру заражения PE-Файлов, при обращениях к .HLP-файлам вирус добавляет к ним свой дроппер, в случае файлов .RAR, .ZIP, .ARJ и .HA вирус вставляет в них свой DOS-дроппер.
