Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

I-Worm/Happy99

Tento virus určený pro Windows se šíří elektronickou poštou jako soubor HAPPY99.EXE o velikosti 10000 byte.

V těle viru je viditelný text:
  begin 644 Happy99.exe
  `
  end

  Happy New Year 1999 !!
Navíc obsahuje zakódované texty:
  Is it a virus, a worm, a trojan?
  MOUT-MOUT Hybrid (c) Spanska 1999.

  \wsock32.dll
  \Ska.dll
  \Ska.exe

  Software\Microsoft\Windows\CurrentVersion\RunOnce
Po spuštění se zkopíruje do systémového adresáře Windows (nejčastěji WINDOWS\SYSTEM)jako SKA.EXE. V tomto adresáři také vytvoří soubor SKA.DLL o velikosti 8192 byte. Obsah tohoto souboru si virus nese v zakódované a částečně komprimované podobě ve vlastním těle. Virus modifikuje knihovnu WSOCK32.DLL tak, aby při volání služeb CONNECT a SEND byl aktivován kód virové knihovny SKA.DLL, který připojí k odesílanému souboru jako attach vlastní virus. Napadený soubor WSOCK32.DLL má nezměněnou délku, protože virus využívá prázdná místa ve struktuře souborů PE-EXE. Pokud volné místo v sekci .text není alespoň 202 byte, knihovna nebude infikována a virus se nebude šířit. Napadený soubor WSOCK32.DLL má nastavený nišží byte CRC v EXE headeru na hodnotu 7Ah. Původní obsah tohoto souboru je zkopírován do souboru WSOCK32.SKA.

V případě, že je v okamžiku aktivace viru knihovna WSOCK32.DLL používána systémem a není přístupná pro zápis, naplánuje virus své spuštění při dalším staru Windows tak, že v registry zapíše jméno SKA.EXE do klíče
Software\Microsoft\Windows\CurrentVersion\RunOnce

Po napadení systému virus zobrazí okno, ve kterém vás potěší skromně vyvedeným ohňostrojem.

Zdroj: Grisoft software s.r.o. - výrobce antiviru AVG


Zpět