Virus.Multi.Vecna

Класс Virus
Платформа Multi
Описание

Technical Details

Очень опасный резидентный файлово-загрузочный стелс-вирус.
Заражает boot-сектора дискет, MBR винчестера и записывается поверх
EXE-файлов (портит их). При запуске зараженного EXE-файла записывается в
MBR винчестера, расшифровывает и выводит текст:


Out of memory.

и возвращает управление DOS. При загрузке с диска перехватывает INT 13h,
остается резидентно в памяти и заражает дискеты и EXE-файлы на дискетах.

Под отладчиком и на Pentium-компьютерах выводит текст:


Vecna Live …

Имеет довольно серьезную ошибку — может вернуть управление оригинальному
обработчику INT 13h с испорченным содержимым регистра AX, что может
привести к потере данных на диске и даже к его форматированию.

Vecna.313

Неопасный резидентный файлово-загрузочный стелс-вирус.
Перехватывает INT 21h и записывается в конец COM-файлов при их запуске.
После старта из инфицированного COM-файла вирус также записывает свой код в
MBR жесткого диска и затем отдает управление файлу-носителю. При старте из
MBR-сектора вирус перехватывает INT 13h. Обработчик INT 13h затем маскирует
присутствие вируса в загрузочном секторе и перехватывает INT 21h. Вирус
никак не проявляет себя.

Vecna.Outsider

Опасный резидентный зашифрованный файлово-загрузочный вирус. Перехватывает
INT 13h, 28h. Заражает .EXE-файлы и boot-сектора дискет. Файлы заражает по
методу вируса «DirII».

Через три месяца после заражения компьютера или под отладчиком портит CMOS (устанавливает пароль?) и выводит текст:


[OUTSIDER]
Esta В minha vinganЗa contra esta sociedade injusta
E eu ainda n|o estou satisfeito
Espere e ver|o…

Также содержит строку:


Written by Vecna/SGWW in Brazil 1997

Vecna.Tron

Безобидный резидентный загрузочный вирус. Перехватывает INT 1, 8, 13h и
записывается в MBR винчестера и boot-сектора дискет. Содержит текст:


[ORGASMATRON] by Vecna/SGWW in Brazil 1997

Для перехвата INT 13h использует отладочный режим и регистры DR0, DR6, DR7
процессора i386. При помощи этих регистров вирус устанавливает точку
останова на системный обработчик INT 13h в BIOS. Когда управление
передается на этот обработчик, процессор генерирует прерывание INT 1 и
управление передается на код вируса. Вирус проверяет регистры, при
необходимости вызывает процедуры заражения и стелс, выключает отладку и
возвращает управление обработчику INT 13h в BIOS. Для того, чтобы
восстановить точку останова и перехват INT 1 вирус использует вызовы INT 8 (таймер).