|
        
|
Win32/Kenston
Paměťově nerezidentní parazitický Win32 virus. Je kódován funkcí XOR. Po spuštění infikovaného programu převezme kontrolu a napadne PE EXE soubory v podadresářích na aktivním disku. Zapisuje se na konec souboru a zvětšuje velikost poslední sekce. Tam se zapíše a úpravou adresy vstupního bodu (entry point) zajistí svoje spuštění.Většina částí viru je kompatibilní se všemi Win32 verzemi: Win32/9x/NT, ale rutina určená k infekci obsahuje několik chyb. Proto nelze většinu infikovaných souborů spustit pod systémem Windows NT.
Virus obsahuje text:
Boles and Manning are arrogant facists. They have no computer sk1llz and KENSTON HIGH SCHOOL's computers are 0wn3d. I AM BACK KOONS YOU MOTHERFUCKER dowN wiTh KenSTON..... yOU tRIED tO rID yOUrSELf oF mE BefoREbUT fAILED HAHAHAHAHAHAHAHAHAHAHAHAHAHAHAVirus taky obsahuje řetezce se jmény funkcí, které virus používá:
LoadLibraryA GetProcAddress FindFirstFileA FindNextFileA FindClose SetFileAttributesA SetFileTime CreateFileA ReadFile WriteFile SetFilePointer CloseHandle SetCurrentDirectoryA GetCurrentDirectoryA
