19 listopada 2001

Win16.Klon - wyłącza programy antywirusowe

Jest to rezydentny i pasożytniczy wirus Win16. Ma postać pliku uruchamialnego (NE EXE) o rozmiarze około 13 KB i został napisany w języku programowania Turbo Pascal.

Po uruchomieniu wirus szuka plików EXE (NE oraz PE) na dostępnych dyskach i infekuje je. Podczas zarażania szkodnik przesuwa oryginalną zawartość pliku i dopisuje do niego swój kod.

Podczas przetwarzania plików wirus może również tworzyć uruchamialne pliki (EXE) zawierające kod wirusa. Ich nazwy zależne są od wersji szkodnika: SYSTEM0.EXE, SYSTEM1.EXE, SYSTEM9.EXE ANTIA.EXE, ANTIB.EXE.

Niektóre wersje wirusa rejestrują swoje kopie w sekcji auto-run pliku WIN.INI.

Szkodnik wyświetla na ekranie następujący komunikat:

klon!
Najemnik Virus Version 3.0
AntiAnti

Jedna z wersji wirusa skanuje pamięć w poszukiwaniu aktywnych programów o nazwach: viru, mks_, avp, antiviral.

po czym próbuje zamknąć ich okna.

W kodzie wirusów zapisane są następujące testy:

"Klon.11776": Idea:SaddamHusseinDiskValidator Amiga!
"Klon.12800,13056": AtiAntiVirus AAV AntiAntiVirus AAV