Virus.Win32.Zombie

Technical Details

Неопасный нерезидентный зашифрованный Win95-вирус. При запуске
сканирует ядро Win95 и определяет адреса системных функций работы с
файлами (см. ниже список функций). Затем ищет NewEXE-файлы (Portable
Executable) в каталоге Windows, в дереве подкаталогов дисков C:, D:, E: и
F: и заражает их.
При заражении создает в PE-заголовке новую секцию “.Z0MBiE”, модифицирует
адрес точки входа и записывает себя в конец файла. При заражении файлов
вирус также выравнивает их на границу секции, и длины файлов увеличиваются
на значение, большее действительной длины вируса. Также как и другие
Win95-вирусы, использующие этот прием, заражает некоторые файлы некорректно
– при их запуске Windows выводит стандартное сообщение об ошибке в
программе.
Создает на дисках файлы ZSETUP.EXE и записывает в них DOS-вирус
“Zombie.VPI”.
Содержит строки, часть которых является списком используемых вирусом
функций:

ExitProcess FindFirstFileA FindNextFileA CreateFileA SetFilePointer
ReadFile WriteFile CloseHandle GetCurrentDirectoryA SetCurrentDirectoryA
GetWindowsDirectoryA GetCommandLineA WinExec GetFileInformationByHandle

.Z0MBiE
Z0MBiE 1.01 (c) 1997
My 2nd virii for mustdie
Tnx to S.S.R.
ZSetUp.EXE