Zohra是在MS-DOS運作的TSR檔案寄生加密病毒,由病毒編程組29A的Wintermute製作。根據內部字串,這病毒應該是為記念作者早逝的愛人而寫。
有5個已知的變種並分3個版本(以下為代表):
- Virus.DOS.Zohra.4160
- Virus.DOS.Zohra.4382
- Virus.DOS.Zohra.4488
感染行為[]
此病毒執行時先檢查系統版本,如果不是5.0或更早的,那麼它不會執行TSR程式碼而不會感染任何檔案。否則,它會感染任何執行的應用程式。
如果執行的檔案的名稱包含以下任何字串,那麼這個檔案不會受感染:
TB AV SC IV
當MEM.EXE執行時,它會將自己的TSR程式碼隱藏,使到RAM可用空間顯示只減少了48位元組;但如果將MEM.EXE改名成別的檔名再執行,其TSR程式碼就無所遁形。在執行WIN.COM/WIN.EXE時,它會將自己從RAM中移除。
此病毒用一個複雜的方式來取得INT 21h的處理程序的位址,以反向編譯這位址的程式碼以取得DOS核心的原處理程序。
進階資料[]
下表列出所有變種的TSR碼在RAM所佔用的空間:
變種 | RAM使用(位元組) |
---|---|
Zohra.4160 | 7,856 |
Zohra.4382 | 8,304 |
Zohra.4488 | 8,528 |
Zohra.4516 | 8,592 |
Zohra.4525 | 8,592 |
MD5:
變種 | MD5雜湊 |
---|---|
Zohra.4160 | a69253acc8923d732d6e07ec72ccc8da
|
Zohra.4382 | f10b3eb29a917315020c8c28b0384a28
|
Zohra.4488 | f848a81f7622e01f40d6e1679d0b7d60
|
Zohra.4516 | ceffad8627790b082088102f08b73651
|
Zohra.4525 | 94018d6b2c402383b38e3e2cad921440
|
觸發行為[]
Zohra.4160[]
不觸發。
Zohra.4382、4488、4516和4525[]
在4月14日執行受感染的檔案後,病毒會等候下一個程式執行,然後將畫面的文字以一個ASCII值快速捲動,不久將文字逐行清除,並後在中間顯示綠色的字句。
Zohra.4382:
Zohra Crack (c) SunSoft
Zohra.4488、4516和4525:
Zohra will live forever ! Necromancy with her...
變種[]
Zohra總共有5個變種:
- Virus.DOS.Zohra.4160
- Virus.DOS.Zohra.4382
- Virus.DOS.Zohra.4488
- Virus.DOS.Zohra.4516
- Virus.DOS.Zohra.4525
其他資料[]
Zohra.4160和4382的作者另有其人。
Zohra.4382包含以下加密的內部字串:
[Zohra] Crack (c) SunSoft Ralph Roth
Zohra.4488、4516和4525包含以下加密的內部字串:
[Zohra] virus by Wintermute/29A, dedicated to the best Necromancer of the Forgotten Realms,... I assure you will live forever, my love... ;)
參考來源[]
- Zohra在VX Heaven上的變種清單