_Zori-A

Cette section destinée aux experts, expose les détails techniques de ce virus.

Taille: 43872 Octet(s)

Détails techniques:

Méthode d'installation

Lorsqu'il est exécuté, Zori-A se copie dans le répertoire %SYSTEM%\SVCHOSTV\ en tant que SVCHOST.EXE. Il s'ajoute ensuite à la base de registre afin d'être exécuté à chaque démarrage d'une session utilisateur :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SVHOST" = "C:\WINDOWS\System32\SVCHOSTV\SVCHOST.EXE"

Le virus se copie également à l'emplacement suivant :
%SYSTEM%\SVCHOSTV\SVCHOSTV\Vshell??\1.exe

Note: ?? représente un nombre hexadécimal.

Méthode d'infection

Une fois installé, le virus démarre la recherche de fichiers exécutables sur l'ensemble des disques durs de la machine infectée.

Il infecte les fichiers en y ajoutant un code au début. Un programme infecté par le virus fera ainsi 438272 octets de plus que l'original.

Informations complémentaires

Le virus créait un fichier texte nommé "NSASABDox.drv" dans le répertoire %System% qui affiche la date à laquelle le virus a été pour la première fois exécuté.

De temps en temps, le virus peut cacher le bouton de démarrage "Démarrer", le panneau de configuration ou d'autres fenêtres, et causer l'ouverture du lecteur de CD-ROM.

Le virus créait et exécute un fichier de commande nommé "diablo.bat" contenant les instructions suivantes :

shutdown -s -t 30 -c "Hi, I am Death. I Want to send the enormous hello:
Oxy, Alke, Punk-y Dashe and others Goblinam. P.S.( Bye "Hacker", you possible
can not restart computer)" -f

Le virus provoque l'affichage d'un message écris en Russe. Les premières lignes du texte contiennent les mots Anglais suivants :

"Hello, " [...]". This is Death."

9 jours après le lancement du virus sur la machine infectée, Zeri-A provoque l'affichage d'une autre fenêtre également écris en Russe. Les premières lignes du texte contiennent les mots Anglais suivants :

"DeathDangerCompany"

Il commence ensuite à supprimer tous les fichiers de l'ensemble des disques.