Энциклопедия компьютерных вирусов
WinNT.Tenta
Неопасный нерезидентный WinNT-вирус. Заражает выполняемые файлы Windows32 (PE — Portable Executable). При заражении дописывает свой код к концу первой секции файла, предварительно сдвинум вниз все остальные секции, затем модифицирует необходимые поля заголовка файла.
При запуске зараженного файла вирус сканирует область ядра WinNT и вычисляет адреса необходимых функций (поиск файлов, чтение, запись и т.п.). Затем вирус заражает файл C:\WINDOWS\WINHLP32.EXE (если таковой присутствует), затем C:\WINHLP32.EXE, затем WINHLP32.EXE в каталоге Windows, затем файл MSVCRT20.DLL в каталоге Windows System, затем ищет все PE-файлы в текущем каталоге и заражает их. Затем вирус возвращает управление программе-носителю. При заражении вирус создает и использует временный файл C:\WIN32SWP.SYS.
В зависимости от своего счетчика (один раз на восемь запусков) вирус создает файл C:\TENTACLE.TXT и записывает в него текст:
I'm the Tentacle Virus!
Затем вирус модифицирует системный реестр таким образом, что при открытии любого .GIF-файла система зыпускает утилиту Write, которая открывает для редактирования созданный вирусом файл C:\TENTACLE.TXT.
