Searching
..

Click anywhere to stop

ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.DOS.Vacsina

Clase Virus
Plataforma DOS
Descripción

Detalles técnicos

La familia "Vacsina" (no "VACCINA") y "Yankee" comprende más de 40 virus parásitos benignos que no residen en la memoria. Cada uno de ellos lleva en su cuerpo una etiqueta que consta de tres bytes: F4h, 7Ah, NNh. El tercer byte, NNh, se considera como un número del virus en la familia (número de la versión del virus), y en el futuro se encontrará con los nombres de los virus ("Vacsina.NN" y "Yankee.NN"). Después de la activación, los virus de esta familia escriben los bytes 7Fh, 39h y NNh en la memoria en las direcciones 0000: 00C5, 0000: 00C6, 0000: 00C7. Los virus de la familia se distinguen por recuperar archivos infectados por versiones anteriores de los virus de esa familia y volver a infectarlos. Los virus "Vacsina.NN" contienen la palabra "VACSINA" en sus cuerpos.

Los virus infectan los archivos COM y EXE que se ejecutan (virus de versiones de hasta 26 h) o cargados en la memoria (virus de las versiones 26 y siguientes). Los virus infectan los archivos COM de forma estándar: los virus de las versiones hasta la novena verifican el primer byte en un archivo COM que está infectado. Si este byte no es igual a E9h (JMP), el archivo no se infectará. Los virus de versiones superiores infectan archivos .COM de forma independiente en su primer byte. Aparte de esto, los virus "VACSINA" aumentan la longitud del archivo infectado hasta un párrafo. Las versiones 2A y posteriores añaden 4 bytes adicionales al archivo después de que se ha infectado.

Los virus de versiones anteriores (hasta 23 h) infectan archivos EXE de una manera especial: los archivos se transforman al formato de archivo COM. Para este propósito, el archivo se adjunta con un pequeño fragmento del código de virus (132 bytes) que ajusta las direcciones de acuerdo con la tabla de direcciones al cargar el archivo en la memoria para su ejecución; los primeros tres bytes del archivo (JMP al fragmento) también se modifican. Los 132 bytes anexados al archivo no propagan el virus. Su función es solo ajustar las direcciones del programa después de su ejecución. El archivo procesado de esta manera será ejecutado por el sistema operativo y será infectado por muchos virus como un archivo COM. Como tal, se ejecuta un archivo EXE, el control se transfiere al fragmento de reubicación de direcciones, que verifica la tabla de direcciones en el encabezado del archivo y corrige el programa cargado. Luego, el control se transfiere a la dirección de inicio indicada en el encabezado del archivo.

Los virus enganchan el vector de interrupción 21h. Algunos miembros de la familia "Yankee" enganchan INT 1, 3, 9 y 1Ch.

Los virus producen efectos de sonido: como un archivo está infectado por un virus "VACSINA", se produce una señal de sonido (BELL); los virus "Yankee", dependiendo de algunas condiciones previas (al presionar ALT-Ctrl-Del simultáneamente oa las 5:00 p.m.), reproduce la melodía "Yankee Doodle Dandy". En algunas condiciones, el virus "Vacsina.06" descifra y muestra la cadena: "Az sum vasta lelja".

Hay varios "piquancies" en estos virus: las versiones 18h y superiores determinan el valor inicial del vector de interrupción de 21h (dirección del controlador de interrupción en DOS), y al incorporarlo a los archivos, causa una interrupción en ese valor. De esta forma, los virus evitan los monitores antivirales residentes en la memoria. Para determinar la dirección del manejador de interrupciones, se utiliza el siguiente algoritmo:

  • establecer la 01h interrupt (entrada en el rastreo, esta interrupción se llama en modo de depuración después de realizar cada instrucción por el procesador) a la subrutina que determina el verdadero valor del vector de interrupción;
  • activar el modo de seguimiento;
  • llamar a una interrupción "inofensiva" de la función 21h (desde el punto de vista de los anti-virus residentes en la memoria).
Al ejecutar una función "inofensiva" de INT 21h, las instrucciones de todos los programas, que han alterado el vector de interrupción 21h, se ejecutan en orden secuencial, luego se ejecutan los comandos del sistema operativo que manejan esta interrupción. Después de cada comando ejecutado, el control se transfiere a la subrutina de virus, que determina el valor inicial del vector de interrupción. Comprueba la dirección del último comando ejecutado, y si esta dirección apunta al área de memoria que pertenece al sistema operativo, desactiva el modo de depuración y trata la dirección de este comando como el valor inicial del vector de interrupción de 21h.
00000 � … � + —————- �  �Operando � + ——————> �sistema �  � + —————- �  � �COMMAND.COM �  � INT 21h + —————- � + ——————- �Usuario � ——- Programas, habiendo modificado+ ——————> �programa � � vector de interrupción 21h � + —————- � �  � � … � �  � INT 21h + —————- � � + ——————- �Usuario � — ++ ——————> �programa �  � + —————- �  � � … �  � + —————- �  � irusVirus �  � INT 21h � ————- � + ——————- �Command calling �  � interrumpe 21h � ^ � � ————- �  � + ————> �Programa para �  � terminadeterminación de� + —————- �vector � + —————- � FFFFF � … � 
Las versiones 21h y anteriores enganchan las acciones del depurador y, con la condición de que el cuerpo del virus esté depurado, detenga el proceso de depuración. Durante un intento de volcar un archivo infectado bajo el depurador, el archivo "se cura".

La versión 21h y posteriores se codifican por código de bloque lineal y siguen revisando los bytes en su cuerpo. Periódicamente, los virus se controlan por la presencia de modificaciones y las corrigen si es posible.

Las versiones 2Ch y anteriores desactivan la parte residente en memoria del virus "PingPong". Las versiones 2Eh y anteriores toman algunas medidas contra los virus "Cascade".

Modificaciones de "VACSINA" y "Yankee"

Los virus "VACSINA" y "Yankee" son bastante "populares": además de varias docenas de virus "originales", sus mutaciones, en algunos casos copiadas de forma experta del original, han comenzado a surgir. Por lo tanto, en Irkutsk (Rusia), se ha encontrado el virus ("Yankee.1905") que desafía el derecho a ser referido como "Yankee.53". Pero no obstante su número (53h), usa solo una "piquancy" – traza INT 21h.

"Yankee.1049,1150,1202": son virus de archivos residentes de memoria inofensivos. Infectan los archivos COM y EXE cuando se ejecutan (INT 21h, "Yankee.1049" – ax = 4B00h, "Yankee.1202,1150" – ah = 4Bh). Los virus alteran los primeros 32 bytes de un archivo y se unen a su extremo, y en muchos aspectos, coinciden con los virus "Yankee". El vector 21h es usado.

"Yankee.3045" contiene las cadenas de texto: "LOGIN.EXE SUPERVISOR. HESLO.".

"Yankee.Flip.2167": dependiendo de la fecha del sistema, engancha INT 8, 9 y 10h, y "voltea" la pantalla.

Yankee.2189

Familia "Yankee". Este virus está encriptado, a veces lanza los símbolos '/', '', '-', '|'.

Yankee.Estonia.1716

Familia "Yankee". Infecta los archivos COM y EXE, con la excepción de COMMAND.COM, que se ejecutan. Agrega 4 bytes de control a los archivos COM. El lunes a las 2:00 p. M., Descifra y muestra, en el centro de la pantalla, el siguiente mensaje: "Estonia independiente se presenta", luego reproduce una canción y reinicia la computadora.


Enlace al original
Descubra las estadísticas de las amenazas que se propagan en su región