Carbuncle.622

نوع آلوده سازي : exe
اندازه : 622 بايت
مقيم در حافظه : خير

اين ويروس کد خود را در فايل نمي نويسد، بلکه يک فايل فقط خواندني و مخفي بطول 622 بايت به نام carbuncl.com ايجاد ميکند و ويروس را در آن مي نويسد و سپس پسوند فايل EXE اي را که ميخواهد آلوده کند به CRP تغيير ميدهد و يک فايل BATCH همنام با فايل EXE مورد نظر ايجاد ميکند.
وقتي کاربر ميخواهد برنامه، EXE مذکور را بدون ذکر پسوند اجرا کند فايل BATCH همنام با آن اجرا ميشود که در داخل آن ابتدا ويروس و سپس فايل EXE اصلي اجرا ميشود. همچنين هنگام اجراي ويروس اگر ثانيه از 10 کمتر باشد، حداکثر در ابتداي 5 تا از فايلهاي با پسوند CRP که پيدا کند 42 بايت ابتداي ويروس را overwrite  ميکند.

 

Copyright © 1994-2008 Imen Computer Virology Laboratory (I.C.V.L.).
All Rights Reserved. Mehran Rayaneh Engineering Co.