Вирус-червь, распространяющий свои копии через Интернет "Ultra.exe".
При запуске копирует вирус в каталог Windows с именем android.dll (этот
файл затем используется как оригинал при рассылке зараженных сообщений),
затем червь создает на диске свою DLL-компоненту с именем Ultras.dll
(Взято из вируса Suppl). Затем червь записывает команды переименования в
файл WININIT.INI (эти команды обрабатываются Windows при очередной
перезагрузке). Данные команды переименовывают библиотеку сетевого доступа
Windows WSOCK32.DLL в имя WSOCK33.DLL и замещают WSOCK32.DLL
DLL-компонентой червя из файла Ultras.dll. В результате этого при
последующей загрузке Windows активизирует и использует код червя вместо
"настоящей" библиотеки. При инициализации DLL-файла червя происходит
перехват всех функций сетевой библиотеки WSOCK32. При этом червь при
вызове любых функций WSOCK32 передает управление на "настоящую"
библиотеру (которая грузится из файла WSOCK33.DLL), а для функций "send"
и "connect" вызывает дополнительно свои обработчики. Эти обработчики
перехватывают сообщения, отправляемые с компьютера, и добавляют к ним
червя с именем Ultras.exe.
Проявление:
В случае, если "червь" был запущен 5 числа, меняет "обои" экрана:
заполняет экран текстом "ANDROID".
Через неделю после заражения компьютера червь уничтожает на локальных
и сетевых дисках файлы с расширениями:
ICO HTM JPG GIF RAR ZIP TXT DOC
Большое спасибо автору вируса Suppl за dll... e-mail me... plz
-=[U]=-
|