Virus.DOS.Voronezh

メモリ常駐の無害な寄生虫ウイルスです。 “Voronezh.600″は部分的に暗号化されています（50バイト、XOR DDh）。 INT 21hをフックし、実行された.COMファイルの先頭に自身を書き込みます。 “Voronezh.370″COMMAND.COMに感染しません。ファイルを感染させている間、これらのウイルスは元のファイルコード（XOR BBh）の一部も暗号化します。

ウイルスは何らかの形で現れず、破壊的な機能はありません。 “Voronezh.600″には、暗号化された（XOR 1Ah）テキストが含まれています。

 Oleynikoz S.、1990

Voronezh.650

これは無害なメモリ常駐型の寄生虫ウイルスです。これはINT 21hをフックし、 “Voronezh.600″ウィルスと同じ方法で実行されるCOMファイルに感染します。実行されると、ウイルスは1/60の確率で次のメッセージを表示します。

 ビデオモード80×25はサポートされていません

ウイルスには、ロシア語で書かれた「16.01.91、v1.00、????? ?????（Chemist＆象。）

Voronezh.1600  

これは危険なメモリ常駐ウイルスです。 INT 21hをフックし、実行またはオープンされたファイルを感染させます。 COMフ​​ァイルは、 “Voronezh.600″がファイルに感染するのと同じ方法で感染します。

EXEファイルはかなり複雑なアルゴリズムで感染しています。ウイルスは、Jmp-Virus命令（CALL FAR Loc_Virus）でファイルのエントリポイントの5バイトを上書きし、EXEヘッダーのCS：IPフィールドは変更しません。再配置されたアドレスを修正するために、ウイルスはEXE再配置テーブルを読み込んで、このテーブルに1つ以上の要素を追加します。

ウイルスにはいくつかのエラーがあります：再配置テーブルの640個以上の要素を解析しません。再配置テーブルの変更された要素がエントリの5番目のバイトを指しているとき、これはサポートされていない（すなわち、ファイルロード時に調整されるワードは、変更される5バイトの境界に位置する）。そのため、ファイルが実行されると、コンピュータがシステムを停止させる可能性があります。