Нерезидентный файловый вирус. Представляет собой Windows PE EXE-файл.
Деструктивная активность
Данный вирус является учебным. На примере файла example.exe, расположенном в текущей директории, происходит демонстрация основных техник заражения исполняемых файлов.
Вирус увеличивает размер последней секции example.exe на 1363 байта, записывает себя в эту область, изменяет на себя значение точки входа (EP), получая при этом управление при каждом последующем запуске файла.
Для избегания повторного заражения одно из полей PE заголовка файла сравнивается с последовательностью байт 0F 0B 0C 0Dh.
Вирус содержит в себе строку:
Beware! This is a working virus/exe-appender
Другие названия
Virus.Win32.Bender.1363 («Лаборатория Касперского») также известен как: Win32.Bender.1363 («Лаборатория Касперского»), W32/Bender (McAfee), W32.Bender.1363 (Symantec), Win32.NGVCK.2404 (Doctor Web), W32/Bender-A (Sophos), Win32/Small.1363 (RAV), PE_BENDER.1363 (Trend Micro), W32/Bender.1363 (H+BEDV), W32/Bender.1363 (FRISK), Win32:Bender (ALWIL), Win32/Bender (Grisoft), Win32.Bender.1363 (SOFTWIN), W32.Bender.1363 (ClamAV), Suspect File (Panda), WIN32 (Eset)