|
|||
I-Worm/Happy99Tento virus určený pro Windows se šíří elektronickou poštou jako soubor HAPPY99.EXE o velikosti 10000 byte.V těle viru je viditelný text: begin 644 Happy99.exe ` end Happy New Year 1999 !!Navíc obsahuje zakódované texty: Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999. \wsock32.dll \Ska.dll \Ska.exe Software\Microsoft\Windows\CurrentVersion\RunOncePo spuštění se zkopíruje do systémového adresáře Windows (nejčastěji WINDOWS\SYSTEM)jako SKA.EXE. V tomto adresáři také vytvoří soubor SKA.DLL o velikosti 8192 byte. Obsah tohoto souboru si virus nese v zakódované a částečně komprimované podobě ve vlastním těle. Virus modifikuje knihovnu WSOCK32.DLL tak, aby při volání služeb CONNECT a SEND byl aktivován kód virové knihovny SKA.DLL, který připojí k odesílanému souboru jako attach vlastní virus. Napadený soubor WSOCK32.DLL má nezměněnou délku, protože virus využívá prázdná místa ve struktuře souborů PE-EXE. Pokud volné místo v sekci .text není alespoň 202 byte, knihovna nebude infikována a virus se nebude šířit. Napadený soubor WSOCK32.DLL má nastavený nišží byte CRC v EXE headeru na hodnotu 7Ah. Původní obsah tohoto souboru je zkopírován do souboru WSOCK32.SKA. V případě, že je v okamžiku aktivace viru knihovna WSOCK32.DLL používána systémem a není přístupná pro zápis, naplánuje virus své spuštění při dalším staru Windows tak, že v registry zapíše jméno SKA.EXE do klíče Software\Microsoft\Windows\CurrentVersion\RunOnce Po napadení systému virus zobrazí okno, ve kterém vás potěší skromně vyvedeným ohňostrojem. Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG |
|||
|