Demig
Wirus nie mo偶e rozprzestrzenia膰 si臋 bezpo艣rednio z zainfekowanego pliku i dlatego stosuje trik umo偶liwiaj膮cy mu tworzenie swojej kopii Win32. Gdy zara偶ony, DOS-owy plik jest uruchamiany lub otwierany jest zainfekowany arkusz Excela, umieszczona w nim procedura wirusa rozpoczyna dzia艂anie. Tworzy ona plik C:DEMIURG.EXE i umieszcza w nim kod wirusa (Win32). Nast臋pnie kontrol臋 przejmuje g艂贸wna procedura wirusa.
Wirus jest rezydentny w systemach Win32. Zainfekowana biblioteka KERNEL32.DLL przejmuje funkcje dost臋pu do plik贸w (otwieranie, kopiowanie, przenoszenie, zmiana atrybut贸w) i zara偶a uruchamiane pliki COM, EXE oraz PE EXE.
Aby zainfekowa膰 plik KERNEL32.DLL wirus stosuje sztuczk臋. Plik ten jest nieustannie wykorzystywany przez system operacyjny (Windows) i z tego powodu jest zabezpieczony przed zapisem. W momencie infekowania, wirus kopiuje oryginaln膮 bibliotek臋 z katalogu systemowego Windows (gdzie domy艣lnie si臋 ona znajduje) do katalogu g艂贸wnego Windows i zara偶a kopi臋. Przyk艂adowo:
C:WINDOWSSYSTEMKERNEL32.DLL -
oryginalny plik w katalogu systemowym;
C:WINDOWSKERNEL32.DLL -
zainfekowana kopia w katalogu g艂贸wnym Windows.
Podczas kolejnego uruchamiania systemu Windows, wirus nadpisuje oryginaln膮 bibliotek臋 zainfekowan膮 kopi膮.
W celu zainfekowania programu MS Excel, wirus tworzy sw贸j obraz (w formacie tekstowym) i zapisuje go w pliku C:DEMIURG.SYS. Nast臋pnie, pobiera lokalizacj臋 Excela z rejestru systemowego i tworzy w niej plik DEMIURG.XLS, zawieraj膮cy kr贸tkie makro Auto_Open. Podczas nast臋pnego startu, Excel automatycznie akceptuje ten plik i uruchamia zawarte w nim makro, kt贸re pobiera kod wirusa z pliku C:DEMIURG.SYS i konwertuje go do postaci binarnego pliki PE EXE. W rezultacie g艂贸wny kod wirusa przejmuje kontrol臋.
Podczas infekowania Excela, wirus wy艂膮cza jego ochron臋 antywirusow膮.
Szkodnik w 偶aden spos贸b nie manifestuje swojej obecno艣ci. W jego kodzie znajduje si臋 sygnatura autora:
[The Demiurg] - a Win32 virus by Black Jack written in Austria in the year 2000