CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.DOS.Voronezh

Date de la détection 01/11/2002
Classe Virus
Plateforme DOS
Description

Voronezh.370 et 600

Ce sont des virus parasitaires résidant dans la mémoire et inoffensifs. "Voronezh.600" est partiellement crypté (50 octets, XOR DDh). Ils hook INT 21h, et écrivent eux-mêmes au début des fichiers .COM qui sont exécutés. "Voronezh.370" n'infecte pas COMMAND.COM. Lors de l'infection d'un fichier, ces virus chiffrent également une partie du code de fichier d'origine (XOR BBh).

Les virus ne se manifestent en aucune manière et n'ont aucune fonction destructrice. "Voronezh.600" contient le texte crypté (XOR 1Ah):

Oleynikoz S., 1990

Voronezh.650

C'est un virus parasitaire inoffensif et résidant en mémoire. Il croise INT 21h et infecte les fichiers COM qui sont exécutés de la même manière que le virus "Voronezh.600". Lors de son exécution, le virus, avec une probabilité de 1/60, affiche le message suivant:

Mode vidéo 80×25 non pris en charge

Le virus contient également le texte suivant écrit en russe: "16.01.91, v1.00, ?????? ???? (Chemist & Elephant.)

Voronezh.1600

C'est un dangereux virus de la mémoire -ident. Il accroche INT 21h et infecte les fichiers qui sont exécutés ou ouverts. Les fichiers COM sont infectés de la même manière que les fichiers infectés par "Voronezh.600".

Les fichiers EXE sont infectés selon un algorithme assez complexe. Le virus écrase cinq octets du point d'entrée d'un fichier avec l'instruction Jmp-Virus (CALL FAR Loc_Virus) et ne modifie pas les champs CS: IP dans l'en-tête EXE. Pour corriger les adresses relocalisées, le virus lit et pathifie une table de relocalisation EXE et inclut un élément supplémentaire dans cette table.

Le virus a quelques erreurs: il n'analyse pas plus de 640 éléments de la table de relocalisation; lorsque l'élément modifié de la table de relocalisation pointe sur le 5ème octet de l'entrée, ceci n'est pas supporté (c'est-à-dire que le mot, ajusté lors du chargement du fichier, est situé sur la bordure des 5 octets modifiés). En tant que tel, si un fichier est exécuté, l'ordinateur peut arrêter le système.


Lien vers l'original