WinHLP.Pluma

Jest to wirus infekuj膮cy pliki HLP Windows32. Mo偶e si臋 rozprzestrzenia膰 wy艂膮cznie w skryptach Windows Help, osadzaj膮c si臋 w strukturze pliku pomocy.

Gdy otwierany jest zara偶ony plik HLP proces systemowy Windows Help uruchamia wszystkie zawarte w nim funkcje. Przy u偶yciu specyficznego triku wirus zmusza system do wykonywania oryginalnego programu binarnego Windows32. Trik ten jest jedn膮 z instrukcji zawartych w skrypcie wirusa. Powoduje on zbudowanie specjalnego mechanizmu zara偶ania i uruchomienie go. Mechanizm ten jest procedur膮 wykonywan膮 jako aplikacja Windows32.

Gdy mechanizm zara偶ania przejmuje kontrol臋 wirus skanuje j膮dro systemu Windows (KERNEL32.DLL obraz 艂adowany jest do pami臋ci Windows) i pobiera stamt膮d wszystkie niezb臋dne funkcje Windows. W nast臋pnej kolejno艣ci przeszukuje bie偶膮cy katalog i gdy odnajdzie plik pomocy systemu windows - infekuje go.

Podczas zara偶ania szkodnik modyfikuje struktur臋 pliku HLP dodaj膮c sw贸j skrypt do obszaru "SYSTEM".

Wirus nie ujawnia swojej obecno艣ci. Zawiera tekst:

[ AYUDA! Coded by Bumblebee/29a ]
Cumpliendo con mi oficio
piedra con piedra, pluma a pluma,
pasa el invierno y deja
sitios abandonados
habitaciones muertas:
yo trabajo y trabajo,
debo substituir tantos olvidos,
llenar de pan las tinieblas,
fundar otra vez la esperanza.