Энциклопедия компьютерных вирусов
Инсталляция
При запуске зараженного EXE-файла на неинфицированном компьютере вирус запускает свою процедуру инсталляции. Эта процедура копирует код вируса в системный каталог WinNT System32\Drivers под именем IE403R.SYS и запускает его как системный сервис. Первоначальный EXE-файл затем передает управление программе-носителю и завершает свою работу.
Если вирус в EXE-файле запускается на уже зараженной машине, вирус определяет наличие своей копии в системной памяти, выгружает ее и запускает свой собственный код. Таким образом вирус в состоянии «апгрейдить» себя на зараженных компьютерах.
При запуске вирусного драйвера (файла IE403R.SYS) вирус остается в системной памяти WinNT как стандартный сервис, но не перехватывает никаких системных событий. Вместо этого основная процедура вируса постоянно «крутится» в цикле ожидания и раз в 10 минут запускает одну из своих подрограмм — либо заражения, либо «заметания следов». Обе подпрограммы запускаются в зависимости от случайного счетчика. Заражение вызывается в двух случаях из пяти, процедура «заметания» — в трех случаях.
