Virus.DOS.Vacsina

Technische Details

Die "Vacsina" – (nicht "VACCINA") und "Yankee" -Familie umfasst mehr als 40 nicht-resident benigne parasitäre Viren. Jeder von ihnen trägt in seinem Körper ein Etikett, das aus drei Bytes besteht: F4h, 7Ah, NNh. Das dritte Byte, NNh, wird als eine Nummer des Virus in der Familie betrachtet (Nummer der Virusversion) und wird im Folgenden in den Namen der Viren ("Vacsina.NN" und "Yankee.NN") erfüllt sein. Nach der Aktivierung schreiben die Viren dieser Familie die Bytes 7Fh, 39h und NNh in den Speicher unter den Adressen 0000: 00C5, 0000: 00C6, 0000: 00C7. Viren der Familie unterscheiden sich dadurch, dass sie Dateien wiederherstellen, die von früheren Versionen der Viren dieser Familie infiziert wurden, und sie neu infizieren. Die Viren "Vacsina.NN" enthalten das Wort "VACSINA" in ihren Körpern.

Die Viren infizieren COM- und EXE-Dateien, die ausgeführt werden (Viren der Versionen bis 26h) oder in den Speicher geladen werden (Viren der Versionen 26h und höher). Die Viren infizieren COM-Dateien standardmäßig: Die Viren von Versionen bis zum 9. überprüfen das erste Byte in einer COM-Datei, die infiziert ist. Wenn dieses Byte ungleich E9h (JMP) ist, wird die Datei nicht infiziert. Die Viren höherer Versionen infizieren .COM-Dateien unabhängig von ihrem ersten Byte. Abgesehen davon verlängern die "VACSINA" -Viren die Länge der infizierten Datei bis zu einem Absatz. In den Versionen 2Ah und höher werden nach der Infektion 4 zusätzliche Bytes an die Datei angehängt.

Die Viren früherer Versionen (bis 23h) infizieren EXE-Dateien in besonderer Weise – die Dateien werden in das COM-Dateiformat transformiert. Zu diesem Zweck wird an die Datei ein kleines Fragment des Viruscodes (132 Bytes) angehängt, das die Adressen gemäß der Adresstabelle einstellt, nachdem die Datei zur Ausführung in den Speicher geladen wurde; Die ersten drei Bytes der Datei (JMP zum Fragment) werden ebenfalls geändert. Die 132 Bytes, die an die Datei angehängt werden, verbreiten den Virus nicht. Ihre Funktion besteht lediglich darin, die Programmadressen bei ihrer Ausführung anzupassen. Die so bearbeitete Datei wird vom Betriebssystem ausgeführt und von vielen Viren als COM-Datei infiziert. Als solches wird eine EXE-Datei ausgeführt, die Steuerung wird an das Adressenverschiebungsfragment übertragen, das die Adresstabelle in dem Dateikopf prüft und das geladene Programm korrigiert. Dann wird die Steuerung an die im Dateikopf notierte Startadresse übertragen.

Die Viren haken den Unterbrechungsvektor 21h. Einige Mitglieder der "Yankee" -Familie haken INT 1, 3, 9 und 1Ch.

Die Viren machen Geräuscheffekte: Wenn eine Datei mit einem "VACSINA" -Virus infiziert wird, wird ein Tonsignal (BELL) erzeugt; Die "Yankee" -Viren spielen, abhängig von einigen Vorbedingungen (wenn Sie ALT-Ctrl-Del gleichzeitig oder um 17:00 Uhr drücken), die "Yankee Doodle Dandy" -Melodie. Unter bestimmten Bedingungen entschlüsselt der Virus "Vacsina.06" und zeigt die Zeichenfolge "Az sum vasta lelja" an.

Es gibt mehrere "Pikanterien" in diesen Viren: Versionen 18h und höher bestimmen den Anfangswert des Interrupt-Vektors 21h (Adresse des Interrupt-Handlers in DOS) und verursachen bei der Einbindung in Dateien einen Interrupt auf diesen Wert. Auf diese Weise umgehen die Viren speicherresidente antivirale Monitore. Um die Adresse des Interrupt-Handlers zu bestimmen, wird der folgende Algorithmus verwendet:

• setze den 01h-Interrupt (Eingang bei der Verfolgung; dieser Interrupt wird im Debugging-Modus nach der Ausführung jedes Befehls durch den Prozessor aufgerufen) auf das Unterprogramm, das den wahren Wert des Interrupt-Vektors bestimmt;
• den Verfolgungsmodus einschalten;
• einen "harmlosen" Interrupt der Funktion 21h nennen (vom Standpunkt der speicherresidenten Anti-Viren).

00000 � … �

+ —————- �

 �Betrieb �

+ ——————> System �

 � + —————- �

 � �COMMAND.COM �

 � INT 21h + —————- �

+ ——————- �Benutzer � ——- Programme, nachdem geändert

+ ——————> �Programm � � Unterbrechungsvektor 21h

 � + —————- � �

 � � … � �

 � INT 21h + —————- � �

+ ——————- �Benutzer � — +

+ ——————> �Programm �

 � + —————- �

 � � … �

 � + —————- �

 � �Virus �

 � INT 21h � ————- �

+ ——————- �Kommando ruft �

 � Unterbrechung 21h �

^ � � ————- �

 � + ————> �Programm für �

 � �Bestimmung von�

+ —————- �vektor �

+ —————- �

FFFFF � … �

Version 21h und höher codieren sich selbst mit linearem Blockcode und überprüfen die Bytes in ihrem Körper. Die Viren überprüfen sich regelmäßig auf das Vorhandensein von Änderungen und korrigieren sie wenn möglich.

Die Versionen 2Ch und höher deaktivieren den speicherresidenten Teil des "PingPong" -Virus. Die Versionen 2Eh und höher ergreifen einige Gegenmaßnahmen gegen die "Cascade" -Viren.

Modifikationen von "VACSINA" und "Yankee"

"Yankee.1049,1150,1202" – sind harmlose residente Dateiviren. Sie infizieren COM- und EXE-Dateien, wenn sie ausgeführt werden (INT 21h, "Yankee.1049" – ax = 4B00h, "Yankee.1202,1150" – ah = 4Bh). Die Viren verändern die ersten 32 Bytes einer Datei und heften sich an ihr Ende und stimmen in vielerlei Hinsicht mit den "Yankee" -Viren überein. Der 21h-Vektor wird verwendet.

"Yankee.3045" enthält die Textzeichenfolgen: "LOGIN.EXE SUPERVISOR. HESLO.".

"Yankee.Flip.2167": abhängig vom Systemdatum, hakt es INT 8, 9 und 10h und "kippt" den Bildschirm.

Yankee.2189

Yankee.Estonia.1716