Showgame — злобный Win32-вирус

Win32.HLLW.Showgame — опасный резидентный Win32-вирус. Не заражает файлов, а передается «как есть» — в виде 70-килобайтного EXE-файла Windows. Ежемесячно, по 26-м числам вирус уничтожает содержимое файлов в корне диска C:.

Вирус копирует себя в три файла:

• WINDOWS.EXE в системном каталоге Windows
• WINXYZ.EXE в главном каталоге Windows
• SHOWGAME.EXE на диске A:

При старте с зараженной дискеты (при запуске файла A:SHOWGAME.EXE) вирус копирует себя в систему с указанными выше именами и ругистрирует себя в ключе авто-запуска системного реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
wwindll = %SystemDir%winxyz.exe /run»

Затем вирус остается в системной памяти как скрытый процесс-сервис, определяет, что ведется работа с диском A: и записывает туда свою копию с именем SHOWGAME.EXE. На этот файл затем устанавливаются атрибуты:
только чтение, скрытый, системный.

По 26-м числам ежемесячно вирус уничтожает содержимое файлов в корне диска C: При этом сами файлы остаются на месте, но имеют нулевую длину.

Вирус также меняет ключ системного реестра:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerCabinetState
FullPath = 1

На русской версии Windows по субботам вирус выводит на экран белый эллипс: