12 czerwca 2001

Win32.Dion - wyświetla efekty graficzne

Jest to rezydentny, zaszyfrowany, pasożytniczy wirus Win32. Ukrywa się w pamięci systemu jako proces, szuka uruchomionych aplikacji i infekuje je podczas zamykania. 20 dnia każdego miesiąca o godzinie 19:10 wirus manifestuje swoją obecność wyświetlając efekt graficzny.

Podczas infekowania pliku wirus dzieli swój kod na zaszyfrowane bloki i zapisuje je w różnych miejscach (nadpisuje elementy pliku fragmentami swojego kodu). Nadpisane bloki pliku przechowywane są w jego końcowej części w celu zachowania funkcjonalności. Gdy zainfekowany plik zostanie uruchomiony, wirus łączy fragmenty swojego kodu, deszyfruje je i uruchamia procedury.

Po zakończeniu przywracania swojego kodu i uruchamiania procedur wirus tworzy w katalogu systemowym Windows "zakraplacz" o rozszerzeniu DLL. Plik ten posiada nazwę składającą się z ośmiu losowych cyfr. Do "zakraplacza" wirus zapisuje swój kompletny kod.

W rezultacie kod wirusa działa jako samodzielny proces i jest aktywny do momentu zamknięcia systemu Windows.

20 dnia każdego miesiąca o godzinie 19:10 wirus manifestuje swoją obecność wyświetlając efekt graficzny:

Szkodnik posiada błędy, w wyniku których zainfekowane aplikacje mogą wywoływać konflikty podczas ich uruchamiania.