Virus.DOS.Voronezh

Voronezh.370,600

Резидентные вирусы, безобидны. Часть вируса «Voronezh.600» (50 байт)

зашифрована (XOR DDh). Перехватывают INT 21h и записываются в начало

.COM-файлов при загрузке их в память для выполнения, «Voronezh.370» не

заражает COMMAND.COM. При внедрении в файл переписывают его начало в конец

файла, а свою копию помещают на освободившееся место в начале. При этом

переписываемая часть файла шифруется (XOR BBh).

Никак не проявляются и не имеют деструктивных функций. «Voronezh.600»

содержит зашифрованный (XOR 1Ah) текст «Oleynikoz S., 1990». Видимо, проба

пера начинающего программиста, так как невооруженным глазом заметно

достаточно слабое знание возможностей языка ассемблера.

Voronezh.650

Резидентный неопасный вирус. Перехватывает INT 21h и поражает выполняемые COM-файлы по алгоритму вируса «Voronezh.600». При запуске файлов

(приблизительно 1 раз на 60 запусков) сообщает:

Video mode 80x25 not supported

Также содержит текст:

16.01.91, v1.00, Химик & Слон

Voronezh.1600

Резидентный опасный вирус. Перехватывает INT 21h и поражает файлы при их

выполнении или открытии. COM-файлы заражаются по схеме вируса

«Voronezh.600». EXE-файлы инфицируются по сложному алгоритму: у них

изменяется пять байт точки входа в программу на код команды CALL FAR

Loc_Virus, при этом изменение адреса точки входа в заголовке файла не

требуется. Вирус корректирует таблицу настройки адресов (ТНА): добавляет в

нее один элемент, соответствующий команде CALL FAR Loc_Virus; необходимым

образом изменяет один элемент ТНА, указывающий на измененные 5 байт (если

такой элемент существует). Затем вирус дописывает к файлу свою копию.

Вирус содержит ошибки: анализируются не более 640 элементов ТНА; не

анализируется случай, когда модифицируемый элемент ТНА указывает на пятый

байт от точки входа (т.е. слово, которое настраивается при загрузке файла,

лежит на границе изменяемых 5 байт). При запуске такого файла возможно

зависание компьютера.