Win32.Miam

Kolejny groźny, pasożytniczy wirus Win32, infekujący wykonywalne pliki PE EXE Win32. Podczas zarażania wirus dopisuje swój kod na końcu plików, w punkcie wejścia do programu umieszcza procedurę, która przekazuje mu kontrolę nad systemem. Ponieważ bakcyl posiada wiele błędów, zdarza się, że infekowane pliki ulegają zniszczeniu.

Gdy zarażony plik zostanie uruchomiony wirus wyszukuje pliki EXE w bieżącym katalogu i infekuje je. Następnie zaraża pliki NOTEPAD.EXE i CALC.EXE w katalogu Windows.

Wirus przejmuje funkcję Windows API CreateFileA i instaluje się w pamięci jako podproces zarażonej aplikacji. W wyniku tego wirus działa tylko wtedy, gdy zainfekowana aplikacja jest aktywna. Podczas otwierania zarażonej aplikacji aktywowany jest wirus, który wyszukuje wszystkie pliki .EXE w katalogu bieżącym i infekuje je.

Gdy zarażony program uruchomiony zostanie o 10:00 (według czasu systemowego), wirus umieszcza na dysku plik C:\NEO.BMP i rejestruje go w systemie jako tapetę pulpitu.

Pierwsza generacja wirusa wyświetla następującą wiadomość:

Win32.Neo Virus by [TiPiaX/VDS]
Miam ! I love PE files 😉