Win95.Boza

Win95.Boza — первый известный компьютерный вирус для операционной системы Windows 95^[1]. Является первым известным вирусом, заражающим файлы формата Portable Executable.

В момент выхода Windows 95 в 1995 году, компания Microsoft была уверена, что система защищена от вирусов и других вредоносных программ, но производители антивирусов сомневались в этом заявлении. В феврале 1996 года исследователями из США и Великобритании был обнаружен вирус Win95.Boza — при каждом запуске инфицированной программы он присоединяется еще к трем программам, иногда безвозвратно повреждая их.

Производители антивирусных средств начали незамедлительно исследовать вирус и искать способы нейтрализовать его. Антивирусный центр компании Symantec установил, что вредоносная программа создана известной группой разработчиков вирусов VLAD из Австралии. В скором времени вирус был обезврежен.

При запуске, вирус ищет файлы формата NE или PE, при нахождении создает в файле дополнительную секцию и записывает в нее свой код. После заражения, вирус использует вызовы GetDir, SetDir, FindFirst, FindNext, OpenFile, LSeek, Read, Write и CloseFile напрямую в KERNEL32 без использования ссылок на KERNEL32.DLL, как это делают обычные Win95-программы. Для того чтобы найти нужный адрес в KERNEL32, вирус проверяет код KERNEL32 по двум адресам, если по какому-либо из этих адресов находится некоторый код (код обработчика функций?), вирус использует этот адрес для вызова перечисленных выше функций. Если же этот код не обнаружен в KERNEL32, вирус возвращает управление программе-носителю.

Вирус запоминает имя текущего каталога, ищет EXE-файлы, проверяет их на наличие PE-сигнатуры, затем увеличивает на единицу поле NumberOfSections в заголовке PE, добавляет еще один заголовок секции (с именем ".vlad") и записывает свой код в конец файла. Новый заголовок секции создается таким образом, что код вируса получает управление при запуске зараженного файла. При запуске вирус ищет и заражает не более трех файлов. Если в текущем каталоге нет незараженных EXE-файлов, то он переходит на один каталог выше. Перед возвращением управления программе-носителю, вирус переходит в первоначальный каталог, имя которого запоминает перед началом поиска файлов. Вирус проверяет системную дату и по 31-м числам выводит Message Box с заголовком Bizatch by Quantum / VLAD и текстом в окне:

The taste of fame just got tastier! VLAD Australia does it again with the world's first Win95 Virus From the old school to the new.. Metabolis Qark Darkman Automag Antigen RhinceWind Quantum Absolute Overlord CoKe

В вирусе есть ошибки, и иногда зараженные файлы оказываются испорченными. При запуске таких файлов Windows 95 выводит сообщение об ошибке.

• Ször P. Attacks on WIN32 //VIRUS. – 1998. – Т. 57.