Virus.Multi.Vecna

技術的な詳細

それは非常に危険な記憶常駐型のマルチパートステルスウイルスです。フロッピーディスクのセクタをブートし、フロッピーディスク上のEXEファイルを上書きするために、ハードドライブのMBRに自身を書き込みます。感染したEXEファイルを実行すると、ウイルスはMBRに感染し、そのメッセージを復号化して表示し、DOSに戻ります。メッセージは次のとおりです。

メモリ不足。

感染したディスク（HDまたはフロッピー）からロードする間に、ウイルスはINT 13hをフックし、メモリ常駐し、ディスクおよびファイルに感染します。

デバッガとPentiumコンピュータの下では、以下のメッセージが表示されます。

Vecna Live …

このウイルスには深刻なバグがあります。誤ったAXレジスタを持つINT 13hフローを続行する可能性があります。ディスクのフォーマットなど、ディスクの損傷を引き起こす可能性があります。

Vecna.313

これは、危険な記憶に常駐するステルス多パートウイルスではありません。これはINT 21hをフックし、実行されたCOMファイルの最後に自身を書き込みます。感染したCOMファイルが開始されると、ウイルスはMBRセクタに自身を書き込み、制御をホストファイルに戻します。 MBRセクタからロードすると、ウイルスはINT 13hをフックし、MBRセクタにウィルスコードを隠し、INT 21hをフックします。

Vecna.Outsider

これは、非常に危険なメモリ常駐暗号化された複数部分ウイルスです。フロッピーディスクの.EXEファイルとブートセクタに感染します。 EXEファイルは"DirII"ウイルスの形で感染します。このウイルスはINT 13h、28hをフックします。

コンピュータに感染してから3か月以内に、またはデバッガの下で、ウイルスはCMOSを破壊し（パスワードを書き込む？）、メッセージを表示します。

[アウトサイダー]エスタ・ミナ・ビンガニャ・コントラ・エスカ・ソシエダ・イン・イジェナエウインダ|Espere e ver | o …

このウィルスにはテキスト文字列も含まれています：

Vecna / SGWW、ブラジル1997年

Vecna.Tron

無害なメモリ常駐ブートウイルスです。 INT 1、8、13hをフックし、フロッピーディスクのハードドライブとブートセクタのMBRに書き込みます。ウイルスには次のテキストが含まれています。

[ORGASMATRON] by Vecna / SGWW in Brazil 1997

INT 13hをフックするには、ウイルスはi386デバッグレジスタDR0、DR6、DR7を使用します。これらのレジスタを使用することにより、BIOS INT 13hハンドラにブレークポイントを設定します。このハンドラが制御を取得すると、プロセッサはINT 1を生成し、制御はウイルスINT 1ハンドラに渡されます。このウイルスはデバッグブレークポイントを無効にし、必要に応じてレジスタをチェックし、感染およびステルスルーチンを呼び出し、元のBIOS INT 13hハンドラに戻ります。ブレークポイントをリセットし、INT 1フックを保持するために、ウイルスはINT 8フック（タイマー）を使用します。