Энциклопедия компьютерных вирусов

         

Win.Gollum


Файловый резидентный вирус. Остается в памяти Windows и Windows95 как VxD-драйвер, перехватывает обращения к DOS EXE-файлам и записывается в их конец. Таким образом, вирус заражает различные операционные системы - Windows и DOS. Не заражает выполняемые файлы Windows (файлы форматов NE и PE), но остается под Windows "резидентно". Вирус заражает только DOS EXE-файлы, но не остается резидентно в DOS-памяти. При запуске зараженного DOS EXE-файла вирус записывает на диск свой VxD-"дроппер" (файл GOLLUM.386), регистрирует его в файле Windows SYSTEM.INI, возвращает управление программе-носителю и не производит никаких других действий. При старте Windows загружает в память файл GOLLUM.386, вирус при этом получает управление, перехватывает цепочку INT 21h (V86 interrupt chain) и заражает DOS EXE-файлы. Размер файла GOLLUM.386 равен 6592 байтам, DOS EXE-файлы при заражении увеличиваются на 7167 байт.



Содержание раздела