ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Win32.Zombie

Classe Virus
Plataforma Win32
Descrição

Detalhes técnicos

Não é um vírus Win95 parasítico criptografado residente nonmemory perigoso. Ao ser executado, o vírus verifica o kernel do Win95 e obtém endereços não documentados da função de acesso a arquivos do sistema (veja a lista abaixo). Em seguida, ele procura por arquivos executáveis ​​do NewEXE Portable (Win95 e NT) no diretório Windows, na árvore de subdiretórios C :, D :, E: e F: drives e os infecta.

Enquanto infecta o vírus cria nova seção ".Z0MBiE" no cabeçalho PE, grava seu código no final do arquivo e modifica o endereço do Ponto de Entrada. O vírus também alinha o tamanho do arquivo à seção, de modo que os comprimentos de arquivo aumentam mais que os bytes Virus_Length durante a infecção. O vírus infecta alguns arquivos incorretamente, o Windows exibe a mensagem de erro padrão quando esses arquivos são executados.

O vírus também cria arquivos ZSETUP.EXE em discos e grava no dropper de vírus DOS "Zombie.VPI".

O vírus contém as cadeias de texto, uma parte dessas cadeias são os nomes das funções do sistema que são usadas durante a infecção:


ExitProcess FindFirstFileA FindNextFileA CreateFileA SetFilePointer
ReadFile WriteFile CloseHandle GetCurrentDirectoryA SetCurrentDirectoryA
GetWindowsDirectoryA GetCommandLineA WinExec GetFileInformationByHandle
.Z0MBiE
Z0MBiE 1.01 (c) 1997
O meu segundo vírus para o mustdie
Tnx para SSR
ZSetUp.EXE


Link para o original