Win32.Beef

Jest to nieszkodliwy, rezydentny, paso偶ytniczy wirus Win32. Pozostaje w pami臋ci systemu Windows i infekuje wszystkie otwierane pliki PE EXE.

Gdy wirus uruchamia si臋 po raz pierwszy, infekuje plik EXPLORER.EXE zapisany w katalogu systemu Windows. Plik ten jest zabezpieczony przed zapisem przez system operacyjny, wi臋c aby go zainfekowa膰 robak stosuje standardowy trik. Kopiuje plik EXPLORER.EXE z nazw膮 BEEFREE.SYS, infekuje kopi臋 i tworzy plik WININIT.INI zawieraj膮cy komend臋, kt贸ra nadpisuje oryginalny plik zainfekowan膮 kopi膮 podczas kolejnego uruchomienia systemu.

Gdy system Windows zostanie uruchomiony z zainfekowanym plikiem EXPLORER.EXE, wirus uzyskuje dost臋p do biblioteki KERNEL32.DLL i przejmuje dwie funkcje: LoadLibraryA oraz CreateFileA. Nast臋pnie szkodnik infekuje wszystkie otwierane pliki PE EXE.