Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

Virus.Win32.Zori.a

Jest to wirus infekujący pliki wykonywalne. Powstał przy użyciu środowiska programistycznego Delphi. Rozmiar szkodnika to 43 872 bajty.

Instalacja

Po uruchomieniu wirus kopiuje się do foldera WINDOWSSYSTEM%SVCHOSTV z nazwą SVCHOST.EXE i tworzy dla tej kopii klucz auto-run w rejestrze systemowym, co zapewnia mu uruchamianie wraz z każdym startem systemu operacyjnego:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"SVHOST" = "C:WINDOWSSystem32SVCHOSTVSVCHOST.EXE"

Dodatkowo szkodnik tworzy swoją kopię w folderze WINDOWS\%SYSTEM%SVCHOSTVSVCHOSTVVshell??1.exe, gdzie znaki ?? zastępowane są heksadecymalnym numerem.

Procedura infekująca

Po zainstalowaniu wirus rozpoczyna wyszukiwanie plików wykonywalnych (EXE) zapisanych na dostępnych dyskach twardych. Szkodnik infekuje te pliki dopisując własny kod w ich początkowej części. Po zainfekowaniu rozmiar plików zwiększa się o 438 272 bajty.

Informacje dodatkowe

Wirus tworzy w folderze WindowsSystem plik tekstowy o nazwie NSASABDox.drv i zapisuje w nim datę swojego uruchomienia.

W pewnych okolicznościach wirus może ukrywać przycisk otwierający menu Start systemu Windows, panel sterowania lub inne elementy systemu operacyjnego, a także otwierać tackę napędu CD-ROM.

Wirus tworzy i uruchamia plik wsadowy diablo.bat składający się z następujących poleceń:

shutdown -s -t 30 -c "Hi, I am Death. I Want to send the enormous hello:
Oxy, Alke, Punk-y Dashe and others Goblinam. P.S.(  Bye "Hacker", you possible
can not  restart computer)" -f  

Szkodnik wyświetla na ekranie rosyjski tekst, którego pierwsza linia zapisana jest w języku angielskim:

Hello, " [...]". This is Death.

Po upłynięciu 9 dni od pierwszego uruchomienia wirusa, na ekranie pojawia się kolejny rosyjski tekst i znów, pierwsza jego linia zapisana jest w języku angielskim:

DeathDangerCompany

Następnie szkodnik usuwa wszystkie pliki z wszystkich dostępnych dysków.