Энциклопедия компьютерных вирусов
Заражение и порча файлов
Процедура заражения сканирует случайно выбранные локальные и доступные диски на локальной сети, ищет EXE-файлы и заражает их. При заражении вирус компрессирует файл-жертву, записывает в него свой код и добавляет компрессированый первоначальный код файла в его конец в виде PE-ресурса. Для запуска оригинального файла при старте зараженного EXE вирус копирует этот ресурс во временный файл, распаковывает его и запускает на выполнение. Вирус компрессирует файлы методом «deflate» и использует для этого встроенную в свой код библиотеку GZIP.
В зависимости от случайного счетчика вирус также портит случайно выбранные файлы: компрессирует их тем же методом и затем шифрует крипто-алгоритмом средней сложности.
Также в зависимости от случайного счетчика с вероятностью 5% вирус также сканирует сетевые диски используя их сетевые имена (UNC). Вирус заражает или портит файлы на этих дисках тем же способом, как описано выше.
Вирус не заражает и не портит файлы в каталогах Windows, System, временном каталоге Windows и в «C:\Program Files». Вирус проверяет имена и не шифрует файлы с расширениями .OBJ, .TMP, .DLL.
