Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE EXE-файл).
Инсталляция
При первом запуске вирус копирует свой исполняемый файл в системный каталог Windows:
%System%\<имя файла вируса>
Для автоматического запуска при каждом старте Windows вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "ccExecute"="%System%\<имя файла вируса>"
Деструктивная активность
Вирус заражает файлы с расширением EXE, имеющие размер отличный от 36864 байт и не имеющие в конце строки «-==Nemesis==-». Эта строка служит для определения зараженных файлов.
При каждом запуске вирус заражает один исполняемый файл.
Поиск файлов для заражения производится в рабочей папке с запущенным зараженным файлом.
Также вирус получает заголовок текущего окна под указателем мыши и если в нем присутствует символ «:», использует предшествующий ему символ как имя диска для поиска файлов во всех подпапках для заражения.
При заражении исполняемого файла тело вируса записывается в начало исполняемого файла. В конец заражаемого файла помещается строка «-==Nemesis==-».
При запуске зараженного файла оригинальный файл извлекается в файл с именем TMP.exe в ту же папку, где находится зараженный файл, и запускается на исполнение.
29-го числа каждого месяца вирус удаляет следующие файлы:
C:\Autoexec.bat C:\boot.ini C:\CONFIG.SYS C:\IO.SYS C:\MSDOS.SYS C:\NTDETECT.COM
Первое — находим постоянно, второе — ждем вас