Win95.CIH-Killer

Jest to niegro藕ny, rezydentny, paso偶ytniczy wirus Win95. Infekuje pliki wykonalne Windows. Podczas infekowania wirus dopisuje si臋 na ko艅cu pliku. Je偶eli plik jest ju偶 zara偶ony wirusem Win95.CIH, w贸wczas CIH-Killer leczy ten plik, by nast臋pnie zarazi膰 go swoj膮 wersj膮.

Je偶eli zara偶ony plik jest uruchomiony pomi臋dzy 0:00 a 0:59 w nocy (wg zegara systemowego) wirus wy艣wietla wiadomo艣膰:

CIH Killer1.1
I'll kill CIH, but I'll live here,too!
[Zabi艂em CIH'a, ale teraz ja tu 偶yj臋-przyp.t艂um.]
Produce By SSJ. CCU. Taiwan 1999. 

Kod wirusa jest niezwykle podobny do kodu wirusa Win95.CIH. Oparty jest na tych samych zasadach, kt贸re umo偶liwiaj膮 zainstalowanie wirusa w pami臋ci Windows.

Poprzez modyfikacj臋 tablicy systemowej, wirus prze艂膮cza si臋 z trybu pracy aplikacji na tryb j膮dra, alokuje blok pami臋ci systemowej, przejmuje IFS API i pozostaje w pami臋ci jako sterownik VxD. Przy otwieraniu plik贸w PE EXE wirus infekuje je, poprzez dopisanie w ostatniej sekcji pliku swojego kodu. Nast臋pnie, wirus modyfikuje pole nag艂贸wkowe PE.