DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.DOS.Vacsina

Kategorie Virus
Plattform DOS
Beschreibung

Technische Details

Die "Vacsina" – (nicht "VACCINA") und "Yankee" -Familie umfasst mehr als 40 nicht-resident benigne parasitäre Viren. Jeder von ihnen trägt in seinem Körper ein Etikett, das aus drei Bytes besteht: F4h, 7Ah, NNh. Das dritte Byte, NNh, wird als eine Nummer des Virus in der Familie betrachtet (Nummer der Virusversion) und wird im Folgenden in den Namen der Viren ("Vacsina.NN" und "Yankee.NN") erfüllt sein. Nach der Aktivierung schreiben die Viren dieser Familie die Bytes 7Fh, 39h und NNh in den Speicher unter den Adressen 0000: 00C5, 0000: 00C6, 0000: 00C7. Viren der Familie unterscheiden sich dadurch, dass sie Dateien wiederherstellen, die von früheren Versionen der Viren dieser Familie infiziert wurden, und sie neu infizieren. Die Viren "Vacsina.NN" enthalten das Wort "VACSINA" in ihren Körpern.

Die Viren infizieren COM- und EXE-Dateien, die ausgeführt werden (Viren der Versionen bis 26h) oder in den Speicher geladen werden (Viren der Versionen 26h und höher). Die Viren infizieren COM-Dateien standardmäßig: Die Viren von Versionen bis zum 9. überprüfen das erste Byte in einer COM-Datei, die infiziert ist. Wenn dieses Byte ungleich E9h (JMP) ist, wird die Datei nicht infiziert. Die Viren höherer Versionen infizieren .COM-Dateien unabhängig von ihrem ersten Byte. Abgesehen davon verlängern die "VACSINA" -Viren die Länge der infizierten Datei bis zu einem Absatz. In den Versionen 2Ah und höher werden nach der Infektion 4 zusätzliche Bytes an die Datei angehängt.

Die Viren früherer Versionen (bis 23h) infizieren EXE-Dateien in besonderer Weise – die Dateien werden in das COM-Dateiformat transformiert. Zu diesem Zweck wird an die Datei ein kleines Fragment des Viruscodes (132 Bytes) angehängt, das die Adressen gemäß der Adresstabelle einstellt, nachdem die Datei zur Ausführung in den Speicher geladen wurde; Die ersten drei Bytes der Datei (JMP zum Fragment) werden ebenfalls geändert. Die 132 Bytes, die an die Datei angehängt werden, verbreiten den Virus nicht. Ihre Funktion besteht lediglich darin, die Programmadressen bei ihrer Ausführung anzupassen. Die so bearbeitete Datei wird vom Betriebssystem ausgeführt und von vielen Viren als COM-Datei infiziert. Als solches wird eine EXE-Datei ausgeführt, die Steuerung wird an das Adressenverschiebungsfragment übertragen, das die Adresstabelle in dem Dateikopf prüft und das geladene Programm korrigiert. Dann wird die Steuerung an die im Dateikopf notierte Startadresse übertragen.

Die Viren haken den Unterbrechungsvektor 21h. Einige Mitglieder der "Yankee" -Familie haken INT 1, 3, 9 und 1Ch.

Die Viren machen Geräuscheffekte: Wenn eine Datei mit einem "VACSINA" -Virus infiziert wird, wird ein Tonsignal (BELL) erzeugt; Die "Yankee" -Viren spielen, abhängig von einigen Vorbedingungen (wenn Sie ALT-Ctrl-Del gleichzeitig oder um 17:00 Uhr drücken), die "Yankee Doodle Dandy" -Melodie. Unter bestimmten Bedingungen entschlüsselt der Virus "Vacsina.06" und zeigt die Zeichenfolge "Az sum vasta lelja" an.

Es gibt mehrere "Pikanterien" in diesen Viren: Versionen 18h und höher bestimmen den Anfangswert des Interrupt-Vektors 21h (Adresse des Interrupt-Handlers in DOS) und verursachen bei der Einbindung in Dateien einen Interrupt auf diesen Wert. Auf diese Weise umgehen die Viren speicherresidente antivirale Monitore. Um die Adresse des Interrupt-Handlers zu bestimmen, wird der folgende Algorithmus verwendet:

  • setze den 01h-Interrupt (Eingang bei der Verfolgung; dieser Interrupt wird im Debugging-Modus nach der Ausführung jedes Befehls durch den Prozessor aufgerufen) auf das Unterprogramm, das den wahren Wert des Interrupt-Vektors bestimmt;
  • den Verfolgungsmodus einschalten;
  • einen "harmlosen" Interrupt der Funktion 21h nennen (vom Standpunkt der speicherresidenten Anti-Viren).
Beim Ausführen einer "harmlosen" Funktion von INT 21h werden Befehle aller Programme, die den Unterbrechungsvektor 21h verändert haben, in sequentieller Reihenfolge ausgeführt, und dann werden die Betriebssystem-Befehle ausgeführt, die diesen Unterbrechungsvorgang ausführen. Nach jedem ausgeführten Befehl wird die Steuerung an das Virus-Unterprogramm übergeben, das den Anfangswert des Interrupt-Vektors bestimmt. Er überprüft die Adresse des zuletzt ausgeführten Befehls, und wenn diese Adresse auf den Speicherbereich des Betriebssystems zeigt, schaltet er den Debugging-Modus aus und behandelt die Adresse dieses Befehls als Anfangswert des 21h Interrupt-Vektors.

00000 � … �
+ —————- �
�Betrieb �
+ ——————> System �
� + —————- �
� �COMMAND.COM �
� INT 21h + —————- �
+ ——————- �Benutzer � ——- Programme, nachdem geändert
+ ——————> �Programm � � Unterbrechungsvektor 21h
� + —————- � �
� � … � �
� INT 21h + —————- � �
+ ——————- �Benutzer � — +
+ ——————> �Programm �
� + —————- �
� � … �
� + —————- �
� �Virus �
� INT 21h � ————- �
+ ——————- �Kommando ruft �
� Unterbrechung 21h �
^ � � ————- �
� + ————> �Programm für �
� �Bestimmung von�
+ —————- �vektor �
+ —————- �
FFFFF � … �
Versionen 21h und höher haken Debugger-Aktionen, und unter der Bedingung, dass der Körper des Virus debuggt wird, stoppen Sie den Debugging-Prozess. Beim Versuch, eine infizierte Datei unter den Debugger zu schreiben, "heilt" sich die Datei selbst.

Version 21h und höher codieren sich selbst mit linearem Blockcode und überprüfen die Bytes in ihrem Körper. Die Viren überprüfen sich regelmäßig auf das Vorhandensein von Änderungen und korrigieren sie wenn möglich.

Die Versionen 2Ch und höher deaktivieren den speicherresidenten Teil des "PingPong" -Virus. Die Versionen 2Eh und höher ergreifen einige Gegenmaßnahmen gegen die "Cascade" -Viren.

Modifikationen von "VACSINA" und "Yankee"

Die "VACSINA" – und "Yankee" -Viren sind eher "beliebt": Abgesehen von einigen Dutzend "Original" -Viren haben ihre Mutationen, die teilweise vom Original ziemlich fachmännisch kopiert wurden, begonnen. So wurde in Irkutsk (Russland) das Virus ("Yankee.1905") gefunden, das das Recht, "Yankee.53" genannt zu werden, angefochten hat. Aber trotz seiner Nummer (53h), verwendet es nur eine "Pikante" – Spuren INT 21h.

"Yankee.1049,1150,1202" – sind harmlose residente Dateiviren. Sie infizieren COM- und EXE-Dateien, wenn sie ausgeführt werden (INT 21h, "Yankee.1049" – ax = 4B00h, "Yankee.1202,1150" – ah = 4Bh). Die Viren verändern die ersten 32 Bytes einer Datei und heften sich an ihr Ende und stimmen in vielerlei Hinsicht mit den "Yankee" -Viren überein. Der 21h-Vektor wird verwendet.

"Yankee.3045" enthält die Textzeichenfolgen: "LOGIN.EXE SUPERVISOR. HESLO.".

"Yankee.Flip.2167": abhängig vom Systemdatum, hakt es INT 8, 9 und 10h und "kippt" den Bildschirm.

Yankee.2189

"Yankee" -Familie. Dieser Virus ist verschlüsselt, manchmal rollt er die Symbole '/', '', '-', '|'.

Yankee.Estonia.1716

"Yankee" -Familie. Es infiziert COM- und EXE-Dateien mit Ausnahme von COMMAND.COM, die ausgeführt werden. Es hängt 4 Steuerbytes an COM-Dateien an. Am Montag um 14:00 Uhr entschlüsselt er und zeigt in der Mitte des Bildschirms die folgende Meldung an: "Independent Estonia Presents", spielt dann eine Melodie ab und startet den Computer neu.


Link zum Original