Win95.Invir

Jest to niegro藕ny, rezyduj膮cy w pami臋ci, paso偶ytniczy, polimorficzny wirus Win9x. U偶ywa specyficznych dla Win9x wywo艂a艅. Dlatego zara偶one pliki nie dzia艂aj膮 w innych systemach (WinNT). Powoduj膮 wy艣wietlenie standardowej informacji o b艂臋dnym dzia艂aniu programu.

Gdy kod wirusa przejmuje kontrol臋 (w 艣rodowisku Win9x), prze艂膮cza si臋 z trybu aplikacji w tryb j膮dra Windows (Ring3 -> Ring0), przejmuje funkcje dost臋pu do plik贸w (IFS API) i infekuje pliki PE EXE, gdy s膮 one otwierane, zmieniana jest ich nazwa lub atrybuty.

Podczas zara偶ania pliku wirus deszyfruje sw贸j kod i dopisuje go w ostatniej sekcji "ofiary". Ponadto wirus zapisuje dwa bloki kodu i danych w blokach "kod" i "dane". Blok danych zawiera wszystkie informacje niezb臋dne w procesie deszyfrowania wirusa w p臋tli polimorficznej. Zabieg oddzielenia bloku danych, od bloku kodu wirusa ma za zadanie zwi臋kszy膰 bezpiecze艅stwo wirusa. W ten spos贸b staje si臋 on trudniejszym do wykrycia.

Mechanizm polimorficzny wirusa oparty jest o wiele ciekawych trik贸w. Do budowania mechanizmu deszyfrowania u偶ywany jest kod podobny do asemblera, kt贸ry zosta艂 skompilowany do kodu binarnego. Wirus w 偶aden spos贸b nie ujawnia swojej obecno艣ci. Zawiera tekst:

You can not find what you can not see.
Invirsible by Bhunji (Shadow VX)