FANDOM


Zohra是在MS-DOS運作的TSR檔案寄生加密病毒,由病毒編程組29A的Wintermute製作。根據內部字串,這病毒應該是為記念作者早逝的愛人而寫。

有5個已知的變種並分3個版本(以下為代表):

  • Virus.DOS.Zohra.4160
  • Virus.DOS.Zohra.4382
  • Virus.DOS.Zohra.4488

感染行為编辑

此病毒執行時先檢查系統版本,如果不是5.0或更早的,那麼它不會執行TSR程式碼而不會感染任何檔案。否則,它會感染任何執行的應用程式。

如果執行的檔案的名稱包含以下任何字串,那麼這個檔案不會受感染:

TB AV SC IV

當MEM.EXE執行時,它會將自己的TSR程式碼隱藏,使到RAM可用空間顯示只減少了48位元組;但如果將MEM.EXE改名成別的檔名再執行,其TSR程式碼就無所遁形。在執行WIN.COM/WIN.EXE時,它會將自己從RAM中移除。

此病毒用一個複雜的方式來取得INT 21h的處理程序的位址,以反向編譯這位址的程式碼以取得DOS核心的原處理程序。

進階資料编辑

下表列出所有變種的TSR碼在RAM所佔用的空間:

變種 RAM使用(位元組)
Zohra.4160 7,856
Zohra.4382 8,304
Zohra.4488 8,528
Zohra.4516 8,592
Zohra.4525 8,592

MD5:

變種 MD5雜湊
Zohra.4160 a69253acc8923d732d6e07ec72ccc8da
Zohra.4382 f10b3eb29a917315020c8c28b0384a28
Zohra.4488 f848a81f7622e01f40d6e1679d0b7d60
Zohra.4516 ceffad8627790b082088102f08b73651
Zohra.4525 94018d6b2c402383b38e3e2cad921440

觸發行為编辑

Zohra.4160编辑

不觸發。

Zohra.4382、4488、4516和4525编辑

在4月14日執行受感染的檔案後,病毒會等候下一個程式執行,然後將畫面的文字以一個ASCII值快速捲動,不久將文字逐行清除,並後在中間顯示綠色的字句。

Zohra.4382:

Zohra Crack (c) SunSoft

Zohra.4488、4516和4525:

Zohra will live forever ! Necromancy with her...

變種编辑

Zohra總共有5個變種:

  • Virus.DOS.Zohra.4160
  • Virus.DOS.Zohra.4382
  • Virus.DOS.Zohra.4488
  • Virus.DOS.Zohra.4516
  • Virus.DOS.Zohra.4525

其他資料编辑

Zohra.4160和4382的作者另有其人。

Zohra.4382包含以下加密的內部字串:

[Zohra] Crack (c) SunSoft
Ralph Roth

Zohra.4488、4516和4525包含以下加密的內部字串:

[Zohra] virus by Wintermute/29A, dedicated to the best Necromancer of the
Forgotten Realms,... I assure you will live forever, my love... ;)

參考來源编辑