DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.DOS.Voronezh

Erkennungsdatum 01/11/2002
Kategorie Virus
Plattform DOS
Beschreibung

Voronezh.370 und 600

Dies sind speicherresidente, harmlose parasitäre Viren. "Voronezh.600" ist teilweise verschlüsselt (50 Bytes, XOR DDh). Sie haken INT 21h und schreiben sich selbst an den Anfang von .COM-Dateien, die ausgeführt werden. "Woronesch.370" infiziert COMMAND.COM nicht. Beim Infizieren einer Datei verschlüsseln diese Viren auch einen Teil des ursprünglichen Dateicodes (XOR BBh).

Die Viren manifestieren sich in keiner Weise und haben keine zerstörerischen Funktionen. "Woronesch.600" enthält den verschlüsselten Text (XOR 1Ah):

Oleynikoz S., 1990

Woronesch.650

Dies ist ein harmloser, residenter parasitärer Virus. Es hakt INT 21h und infiziert COM-Dateien, die auf die gleiche Weise wie der Virus "Voronezh.600" ausgeführt werden. Nach der Ausführung zeigt der Virus mit der Wahrscheinlichkeit von 1/60 die folgende Nachricht an:

Videomodus 80×25 wird nicht unterstützt

Der Virus enthält auch den folgenden auf Russisch geschriebenen Text: "16.01.91, v1.00, ?????? ???? (Chemiker & Elefant.)

Woronesch.1600

Dies ist ein gefährlicher, erinnerungswürdiger Virus. Es hakt INT 21h und infiziert Dateien, die ausgeführt oder geöffnet werden. COM-Dateien werden auf dieselbe Weise infiziert wie "Voronezh.600" Dateien infiziert.

EXE-Dateien werden nach einem ziemlich komplexen Algorithmus infiziert. Der Virus überschreibt fünf Bytes des Einstiegspunkts einer Datei mit der Jmp-Virus-Anweisung (CALL FAR Loc_Virus) und ändert die CS: IP-Felder im EXE-Header nicht. Um verschobene Adressen zu beheben, liest und pflegt der Virus eine EXE-Verschiebungstabelle und fügt ein weiteres Element zu dieser Tabelle hinzu.

Der Virus hat einige Fehler: Er analysiert nicht mehr als 640 Elemente der Verschiebungstabelle; Wenn das modifizierte Element der Verschiebungstabelle auf das fünfte Byte des Eintrags zeigt, wird dies nicht unterstützt (dh das Wort, das beim Laden der Datei angepasst wird, befindet sich an der Grenze der 5 Bytes, die modifiziert werden). Wenn eine Datei ausgeführt wird, stoppt der Computer das System daher möglicherweise.


Link zum Original