Энциклопедия компьютерных вирусов
Win32.Cerebrus
Нерезидентный Windows32-вирус. Заражает Windows-файлы NE (Windows 3.xx), PE (Portable Executable), LX (Linear Executable), но размножается только под Windows32, поскольку имеет формат PE и импортирует Windows32-функции. При запуске зараженного файла вирус получает управление, ищет в текущем каталоге EXE-файлы и записывается в их конец. Для передачи управления на свой код модифицирует не PE-заголовок заражаемого файла, а DOS-заголовок: вирус записывает туда свой адрес в зараженном файле. В результате зараженный файл имеет три блока: DOS stub, первоначальный PE (без изменений), код и данные вируса. Вирус сам по себе имеет формат PE-файла: он содержит PE-заголовок, заголовки секций, таблицу импортируемых имен, секцию кода и данных. В зараженных файлах указатель на PE-заголовок указывает на вирус, в результате Windows32 при запуске зараженного рассматривает первоначальные данные файла как DOS stub и загружает код PE-блок вируса. Для возврата управления файлу-носителю вирус создает копию зараженного файла (она имеет расширение .EVE), лечит и запускает ее. Вирус "забывает" удалить эту копию после запуска, поэтому на диске образуются вылеченные файлы-компаньоны. При запуске вирус пищит спикером компьютера. Содержит строки, первый блок - список импортируемых вирусом функций KERNEL32 и USER32:
ExitProcess Beep GetCommandLineA CreateProcessA CopyFileA CreateFileA SetFilePointer ReadFile WriteFile CloseHandle FindFirstFileA FindNextFileA FindClose GetFileSize WinExec
MURKRY/IkX CEREBRUS The three head guardian, is in your computer, fear no more *.EXE
