Энциклопедия компьютерных вирусов
Заражение: прочие замечания
При заражении файлов вирус не обращает внимания на их атрибуты и время/дату создания или модификации. В результате вирус не заражает файлы с атрибутом ReadOnly и изменяет время/дату последней модификации файла. Также не проверяет расширение имени файла, а только его формат. По этой причине зараженными оказываются не только *.EXE-файлы, но и DLL, CPL, DRV и прочие файлы, имеющие формат PE EXE. Вирус при заражении записывает в VxD и EXE-файлы различное число байт - 10185 при заражении PE EXE и 9262 при заражении VxD. Это вызвано тем, что VxD и PE EXE-файлы имеют различные форматы и загружаются в память различными способами, а следовательно, должны иметь различные точки входа. Поэтому вирус при заражении EXE-файлов дописывает к ним дополнительный блок кода, который записывает в каталог SYSTEM VxD-файл вируса. Этот блок располагается перед основным кодом вируса:
VxD-дроппер Зараженный EXE-файл +--------------------------+<--+ +--------------------------+ |VxD DOSstub и LE-заголовок| | |заголовок, код и данные | |--------------------------| | |программы-носителя | |Перехват API и процедура |+--|>|--------------------------| точка входа |заражения || | |Процедура записи VxD,запи-| |--------------------------|+ | |сывает в VxD все, что ниже| |Процедура записи VxD | +>+>|--------------------------| |в каталог SYSTEM | | |VxD DOSstub и LE-заголовок| |--------------------------|-+ |--------------------------| |прочие данные | |Перехват API и процедура | +--------------------------+<+ |заражения | | |--------------------------| | |Процедура записи VxD | | |в каталог SYSTEM | | |--------------------------| | |прочие данные | +-->+--------------------------+
Длина EXE-файлов при заражении возрастает на различные значения: вирус сначала увеличивает длину файла до границы секции, а затем уже дописывает к нему свои 10185 байт.
