Заряжение BIOS – MBR

Троянец сохраняет при заражении оригинальный MBR в 7-м секторе диска и использует его для  получения таблицы разделов ( после завершения основной работы использует его и для передачи ему управления).

Код, исполняемый на данном этапе, содержит несложный разборщик форматов систем файлов  NTFS и FAT32.Его цель – найти на диске сектора, соответствующие системным файлам winlogon.exe или wininit.exe, компонентам, отвечающим за вход пользователя в систему.

При нахождении требуемых секторов вредонос заражает исполняемый файл winlogon.exe или wininit.exe ( использование технологии файловых вирусов), делая прямые записи в секторах диска, где он расположен. В 8-м секторе находится шаблон для заражения.

В виду своих малых размеров код выполняет 2 задачи :

1. Загрузка из сети определенного файла по ссылке и его запуск;
2. Запуск  руткит-драйвера (my.sys, расположенного на диске C:), предназначенный для защиты зараженных секторов диска.