Win95.Dupator

Jest to niegro藕ny, paso偶ytniczy, rezydentny wirus Win32. Atakuje pliki Win32 PE EXE, ale tak偶e zara偶a plik systemowy Windows KERNEL32.DLL. Wirus nie manifestuje swojej obecno艣ci w 偶aden spos贸b.

Wirus ten zosta艂 odkryty w ciekawy spos贸b. Pewien cz艂owiek zauwa偶y艂, 偶e jego komputer zachowuje si臋 dziwnie. Podejrzewa艂 (jak si臋 p贸藕niej okaza艂o s艂usznie), 偶e mo偶e to by膰 wirus. Przes艂a艂 go do producenta swojego programu antywirusowego (Kaspersky Lab) i faktycznie okaza艂o si臋, 偶e jest to nowy wirus. .

Podczas infekowania pliku wirus tworzy now膮 sekcj臋 PE na ko艅cu pliku, do kt贸rej wpisuje sw贸j kod. Gdy zara偶a aplikacje, modyfikuje adres startowy programu, natomiast gdy "zajmuje" si臋 plikiem KERNEL32.DLL przegl膮da tablic臋 eksportow膮 i uzupe艂nia wolne miejsca swoimi danymi (patrz ni偶ej). W dopisanej przez wirusa sekcji znajduje si臋 charakterystyczne dla niego s艂owo "DUPATOR!", od kt贸rego wirus wzi膮艂 sw膮 nazw臋 i dzi臋ki kt贸remu naj艂atwiej jest zlokalizowa膰 wirusa.

Gdy uruchamiany jest program, wirus przejmuje kontrol臋 i infekuje plik KERNEL32.DLL. Aby to zrobi膰 wirus kopiuje ten plik z katalogu System z Windows (gdzie plik ten jest domy艣lnie ulokowany) do katalogu Windows:

WINDOWSSYSTEMKernel32.Dll -> WINDOWSKernel32.Dll

lub

WINNTSYSTEM32Kernel32.Dll -> WINNTKernel32.Dll

a nast臋pnie infekuje t膮 kopi臋. Podczas infekowania wirus przegl膮da i uzupe艂nia swoimi danymi tablic臋 eksportow膮 KERNEL32.DLL tak, 偶e kod wirusa umieszczony w tym pliku uzupe艂niony zostaje funkcj膮 GetFileAttributesA. Nast臋pnie wirus zwraca kontrol臋 do bie偶膮cej aplikacji i nie jest ju偶 du偶ej aktywny.

Mechanizm infekowania wirusa uruchamiany jest tylko wtedy, gdy 艂adowany jest do pami臋ci zara偶ony plik KERNEL32.DLL (podczas ka偶dego uruchomienia Windows). Funkcja GetFileAttributesA wskazuje na kod wirusa co powoduje, 偶e wirus nie potrzebuje wykonywa膰 偶adnych dodatkowych funkcji aby sta膰 si臋 rezyduj膮cym w pami臋ci Windows. Zachowuje si臋 jak integralna cz臋艣膰 KERNEL32.DLL, przejmuje obs艂ug臋 odczytu atrybut贸w pliku. Je偶eli taka pr贸ba jest podejmowana i dotyczy pliku wykonywalnego, wirus infekuje dany plik.