Энциклопедия компьютерных вирусов
При запуске сканирует ядро Win95
Неопасный нерезидентный зашифрованный Win95-вирус. При запуске сканирует ядро Win95 и определяет адреса системных функций работы с файлами (см. ниже список функций). Затем ищет NewEXE-файлы (Portable Executable) в каталоге Windows, в дереве подкаталогов дисков C:, D:, E: и F: и заражает их. При заражении создает в PE-заголовке новую секцию ".Z0MBiE", модифицирует адрес точки входа и записывает себя в конец файла. При заражении файлов вирус также выравнивает их на границу секции, и длины файлов увеличиваются на значение, большее действительной длины вируса. Также как и другие Win95-вирусы, использующие этот прием, заражает некоторые файлы некорректно - при их запуске Windows выводит стандартное сообщение об ошибке в программе. Создает на дисках файлы ZSETUP.EXE и записывает в них DOS-вирус "Zombie.VPI". Содержит строки, часть которых является списком используемых вирусом функций:
ExitProcess FindFirstFileA FindNextFileA CreateFileA SetFilePointer ReadFile WriteFile CloseHandle GetCurrentDirectoryA SetCurrentDirectoryA GetWindowsDirectoryA GetCommandLineA WinExec GetFileInformationByHandle
.Z0MBiE Z0MBiE 1.01 (c) 1997 My 2nd virii for mustdie Tnx to S.S.R. \ZSetUp.EXE
