Virus.Win32. Nemsi.b

Вирус, заражающий исполняемые файлы Windows. Является приложением Windows (PE EXE-файл). Размер файла — 36864 байта.

Инсталляция

При первом запуске вирус копирует свой исполняемый файл в системный каталог Windows:

  %System%\<имя файла вируса>
  

Для автоматического запуска при каждом старте Windows вирус добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   "ccExecute"="%System%\<имя файла вируса>"

Деструктивная активность

Вирус заражает файлы с расширением EXE, имеющие размер отличный от 36864 байт и не имеющие в конце строки «-==Nemesis==-». Эта строка служит для определения зараженных файлов.

При каждом запуске вирус заражает один исполняемый файл.

Поиск файлов для заражения производится в рабочей папке с запущенным зараженным файлом.

Также вирус получает заголовок текущего окна под указателем мыши и если в нем присутствует символ «:», использует предшествующий ему символ как имя диска для поиска файлов во всех подпапках для заражения.

При заражении исполняемого файла тело вируса записывается в начало исполняемого файла. В конец заражаемого файла помещается строка «-==Nemesis==-».

При запуске зараженного файла оригинальный файл извлекается в файл с именем TMP.exe в ту же папку, где находится зараженный файл, и запускается на исполнение.

29-го числа каждого месяца вирус удаляет следующие файлы:

  C:\Autoexec.bat
  C:\boot.ini
  C:\CONFIG.SYS
  C:\IO.SYS
  C:\MSDOS.SYS
  C:\NTDETECT.COM