Win32/Happy99
V t∞le viru je viditeln² text:
begin 644 Happy99.exe ` end Happy New Year 1999 !!Navφc obsahuje zak≤dovanΘ texty:
Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999. \wsock32.dll \Ska.dll \Ska.exe Software\Microsoft\Windows\CurrentVersion\RunOncePo spuÜt∞nφ se zkopφruje do systΘmovΘho adresß°e Windows (nejΦast∞ji WINDOWS\SYSTEM)jako SKA.EXE. V tomto adresß°i takΘ vytvo°φ soubor SKA.DLL o velikosti 8192 byte. Obsah tohoto souboru si virus nese v zak≤dovanΘ a ΦßsteΦn∞ komprimovanΘ podob∞ ve vlastnφm t∞le. Virus modifikuje knihovnu WSOCK32.DLL tak, aby p°i volßnφ slu₧eb CONNECT a SEND byl aktivovßn k≤d virovΘ knihovny SKA.DLL, kter² p°ipojφ k odesφlanΘmu souboru jako attach vlastnφ virus. Napaden² soubor WSOCK32.DLL mß nezm∞n∞nou dΘlku, proto₧e virus vyu₧φvß prßzdnß mφsta ve struktu°e soubor∙ PE-EXE. Pokud volnΘ mφsto v sekci .text nenφ alespo≥ 202 byte, knihovna nebude infikovßna a virus se nebude Üφ°it. Napaden² soubor WSOCK32.DLL mß nastaven² niÜ₧φ byte CRC v EXE headeru na hodnotu 7Ah. P∙vodnφ obsah tohoto souboru je zkopφrovßn do souboru WSOCK32.SKA.
V p°φpad∞, ₧e je v okam₧iku aktivace viru knihovna WSOCK32.DLL pou₧φvßna systΘmem a nenφ p°φstupnß pro zßpis, naplßnuje virus svΘ spuÜt∞nφ p°i dalÜφm staru Windows tak, ₧e v registry zapφÜe jmΘno SKA.EXE do klφΦe
Software\Microsoft\Windows\CurrentVersion\RunOnce
Po napadenφ systΘmu virus zobrazφ okno, ve kterΘm vßs pot∞Üφ skromn∞ vyveden²m oh≥ostrojem.
Zdroj: Grisoft software s.r.o. - v²robce antiviru AVG
