При заражении системы вирус создает в файле WIN.INI новую секцию [The Apparition]. В ней он создает и модифицирует свои параметры и затем использует их при работе. "Running NOW=" - "Yes" означает, что вирус уже активен в системе и при повторных запусках зараженных файлов он не будет устанавливать себя в память. При заражении системы (при первом запуске) вирус устанавливает этот параметр в "Yes", при выходе - в "No". "BootInfected=" - "1" означает, что "дроппер" VIDACCEL.EXE уже присутствует в системе, и вирус не должен заново создавать его. "DieMonth=" и "DieDay=" указывают день и месяц "срабатывания". В этот день вирус уничтожает все файлы (кроме WIN386.SWP и 386SPART.PAR) на всех дисках. При заражении системы вирус устанавливает дату срабатывания на текущую дату плюс один месяц. "AtomID=" и "IDAtom=" - параметры вируса, используемые при системных вызовах. Вирус также обрабатывает параметры, которые не создает, т.е. эти параметры могут быть созданы и модифицированы только пользователем. Видимо, автор вируса использовал их при отладке. "Die=" - запрещает удаление файлов. "NoRun=" - запрещает инсталляцию вируса в систему. "NoInfect=" - запрещает заражение файлов. "ShowDotsOn=1", "ShowDialog=666", "Logging=YES" - отладочные параметры. Если установлен параметр "Logging", вирус создает в каталоге Windows файл WINAPP.LOG и записывает в него сообщения:
Started. - при запуске зараженного файла Loaded OK. - при выделении памяти InfectBoot = start - перед созданием VIDACCEL.EXE InfectBoot = done - после создания VIDACCEL.EXE Running application - перед запуском файла-носителя Application finished - после запуска файла-носителя Terminate requested - при нажатии на соответствующую кнопку, Paused если окно вируса - видимое (см. ниже) Resumed Remove from memory requested !!! Destruction requested !!! Executing PIF : - при запуске Borland Pascal PM Failed : No compiler - при работе полиморфик-генератора PM started PM is using temp dir PM Failed : Out of diskspace PM Failed : 1st compile failed 1st compile OK.
PM Failed : Source file too big PM : Compression started, bytes PM : Compression completed, PM : Constants updated PM : 2nd compile failed PM : I/O Error PM : Linked OK
Если установлен параметр "ShowDotsOn", вирус выводит MessageBoxes (заголовок/сообщение) и запрашивает разрешение пользователя:
!!! VIRUS WARNING !!! Do you really want to run program infected by virus ?
!!! WARNING !!! Overwrite NORMAL.DOT, confirmed ?
!!! THE APPARITION WARNING !!! Infect [filename] Confirmed ?
Если параметр "ShowDialog" равен "666", вирус делает свое окно видимым, и оно появляется на экране:
+--------------------------------+ | - | THE APPARITION | * | |--------------------------------| | File Help | |--------------------------------| | The Apparition for Windows | | UltraGluk ALL-IN-ONE | | | | Status : | | Last : | | Total : | | | | +------------+ +-----------+ | | | Terminate | | Pause | | | +------------+ +-----------+ | | +---------------------------+ | | | !!! DESTRUCT !!! | | | +---------------------------+ | +--------------------------------+
Меню "File" содержит четыре пункта: "Check" - вирус выводит MessageBox:
Double FUCK!!! Press CTRL+ALT+DEL Twice to Install Printer!!!
"Infect" - вирус запускает FileBrowser и затем заражает указанный файл. При этом могут выводиться сообщения:
Error! Infection engine is busy.
You MAZDAI! File is already infected, I WANNA new file to infect!
Кнопки "Remove" и "Teminate" (ошибка - в вирусе) удаляют вирус из системы. При нажатии на "Remove" вирус также сообщает: