Win32.Driller
Bakcyl pozostaje w pami臋ci systemowej jako komponent zainfekowanego programu, uzyskuje dost臋p do funkcji j膮dra i przejmuje 15 z nich: wyszukiwanie pliku, otwieranie pliku, kopiowanie, przenoszenie, itd. Gdy nast臋puje wywo艂anie pliku PE EXE przez jedn膮 z tych funkcji, wirus infekuje ten plik. W rezultacie, szkodnik zara偶a wszystkie pliki PE EXE, wywo艂ywane przez zainfekowanego hosta.
Podczas infekowania pliku, wirus szyfruje sw贸j kod (8 kilobajt贸w) i zapisuje go w ko艅cowej cz臋艣ci atakowanego proramu. Nast臋pnie, bakcyl odczytuje 8 KB kodu ofiary, szyfruje go i r贸wnie偶 zapisuje na ko艅cu pliku. Powsta艂e w ten spos贸b miejsce wype艂niane jest procedur膮 polimorficzn膮, kt贸ra deszyfruje g艂贸wny kod wirusa i przekazuje mu kontrol臋.
Wykorzystywana przez wirusa procedura polimorficzna posiada b艂臋dy, kt贸re mog膮 wywo艂ywa膰 standardowy komunikat systemu Windows, informuj膮cy o wyst膮pieniu b艂臋du podczas pracy aplikacji.
W pi膮tki zale偶nie od systemowej daty, wirus ustawia startow膮 stron臋 programu MS Internet Explorer na:
http://www.thehungersite.com
Ponadto bakcyl posiada w swoim kodzie sygnatur臋 autora:
[Virus TUAREG by The Mental Driller|29A] - This virus has been designed for carrying the TUAREG engine -