Virus.Win32.ZMist

Technical Details

Очень сложный полиморфный компьютерный вирус. Использует уникальную технологию встраивания в файлы: вирус «разбирает» (дизассемблирует) PE EXE-файл на составные части, встраивает свой код и собирает заново, перемешивая при этом свой код и код заражаемого файла.

Использует уникальную технологию декриптования своего тела для обхода эвристических анализаторов. Точка входа зараженного файла не изменяется. Зараженные файлы практически всегда работоспособны. После заражения размер файлов увеличивается примерно на 35КБ.

Поиск файлов для заражения производит рекурсивно: сначала в директории Windows, далее в путях переменной %PATH% и на дисках от A: до Z:. Заражает только те файлы, структуру которых знает: в основном это файлы, скомпилированные компиляторами высокоуровневых языков (95% исполняемых файлов). При заражении файла, выделяет себе блок памяти в 32МБ.

Деструктивных действий в системе не производит.