03f32b05

Заражение PKLITE


Особое внимание вирус уделяет файлам, упакованным утилитой PKLITE. Он записывает себя в конец файла, как и при заражении обычного файла, но команду JMP-Virus записывает в его середину. Для этого "портит" стандартный код распаковщика PKLITE таким образом, что при запуске файла происходит вызов процедуры, сообщающей:

Not enough memory

и возвращающей управление DOS. Вирус записывает код JMP-Virus в эту процедуру и таким образом получает управление при запуске зараженного PKLITE-файла. При возврате управления восстанавливает код PKLITE. В результате PKLITE не выдает сообщения об ошибке, а распаковывает и выполняет запакованную программу.




Начало  Назад  Вперед