Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

Win32/Kenston

Paměťově nerezidentní parazitický Win32 virus. Je kódován funkcí XOR. Po spuštění infikovaného programu převezme kontrolu a napadne PE EXE soubory v podadresářích na aktivním disku. Zapisuje se na konec souboru a zvětšuje velikost poslední sekce. Tam se zapíše a úpravou adresy vstupního bodu (entry point) zajistí svoje spuštění.

Většina částí viru je kompatibilní se všemi Win32 verzemi: Win32/9x/NT, ale rutina určená k infekci obsahuje několik chyb. Proto nelze většinu infikovaných souborů spustit pod systémem Windows NT.

Virus obsahuje text:
Boles and Manning are arrogant facists. They have no computer
sk1llz and KENSTON HIGH SCHOOL's computers are 0wn3d.
I AM BACK KOONS YOU MOTHERFUCKER dowN wiTh KenSTON.....
yOU tRIED tO rID yOUrSELf oF mE BefoREbUT fAILED
HAHAHAHAHAHAHAHAHAHAHAHAHAHAHA
Virus taky obsahuje řetezce se jmény funkcí, které virus používá:
LoadLibraryA GetProcAddress FindFirstFileA FindNextFileA FindClose
SetFileAttributesA SetFileTime CreateFileA ReadFile WriteFile
SetFilePointer CloseHandle SetCurrentDirectoryA GetCurrentDirectoryA

Zpět