Win32/Kenston
Paměťově nerezidentní parazitický Win32 virus. Je kódován
funkcí XOR. Po spuštění infikovaného programu převezme
kontrolu a napadne PE EXE soubory v podadresářích na
aktivním disku. Zapisuje se na konec souboru a zvětšuje
velikost poslední sekce. Tam se zapíše a úpravou adresy
vstupního bodu (entry point) zajistí svoje spuštění.
Většina částí viru je kompatibilní se všemi Win32 verzemi: Win32/9x/NT,
ale rutina určená k infekci obsahuje několik chyb. Proto nelze většinu infikovaných souborů
spustit pod systémem Windows NT.
Virus obsahuje text:
Boles and Manning are arrogant facists. They have no computer
sk1llz and KENSTON HIGH SCHOOL's computers are 0wn3d.
I AM BACK KOONS YOU MOTHERFUCKER dowN wiTh KenSTON.....
yOU tRIED tO rID yOUrSELf oF mE BefoREbUT fAILED
HAHAHAHAHAHAHAHAHAHAHAHAHAHAHA
Virus taky obsahuje řetezce se jmény funkcí, které virus používá:
LoadLibraryA GetProcAddress FindFirstFileA FindNextFileA FindClose
SetFileAttributesA SetFileTime CreateFileA ReadFile WriteFile
SetFilePointer CloseHandle SetCurrentDirectoryA GetCurrentDirectoryA