Энциклопедия компьютерных вирусов

         

Дополнительные технические детали


Вирус написан на Microsoft Visual C++ и имеет достаточно большой размер — более 125K. Размер «вирусного» кода — около 14K, библиотека GZIP — 20K, библиотеки C++ — 40K. Оставшаяся часть вируса занята данными библиотек C++, данными вируса, ресурсами и т.п.

Вирус имеет достаточно необычную структуру. Зараженные файлы состоят из сегментов кода, данных и трех ресурсов, содержащих компрессированные выполняемые файлы. Первый ресурс содержит стандартную библиотеку NT4 PSAPI.DLL, которая используется вирусом для доступа к процессам, активным в системной памяти.

Второй ресурс содержит копию вирусного кода (включая первый ресурс — PSAPI.DLL), т.е. в зараженных файлах присутствуют две копии вируса: «боевая» и упакованная в ресурсе. Такая «матрешечная» компоновка необходима вирусу для запуска своей второй копии как SYS-драйвера NT. При инсталляции «боевая» копия вируса вытаскивает ее из ресурсов и запускает как SYS-драйвер.

Третий ресурс содержит файл-носитель целиком — от первого байта до последнего. Этот ресурс распаковывается и запускается вирусом на выполнение, когда он передает управление программе-носителю.

System Registry: при инсталляции своего SYS-драйвера вирус использует стандартные вызовы NT API. В результате WinNT самостоятельно регистрирует вирусный драйвер в ситемном реестре:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Remote Explorer

Временные файлы: при компрессии/декомпрессии вирусу требуются временные файлы. Он создает их во временном каталоге Windows со случайно выбранными именами: ~xxxdddd.TMP (где 'x' — буквы, 'd' — цифры).



Содержание раздела