Technical Details
Очень опасный резидентный файлово-загрузочный стелс-вирус.
Заражает boot-сектора дискет, MBR винчестера и записывается поверх
EXE-файлов (портит их). При запуске зараженного EXE-файла записывается в
MBR винчестера, расшифровывает и выводит текст:
Out of memory.
и возвращает управление DOS. При загрузке с диска перехватывает INT 13h,
остается резидентно в памяти и заражает дискеты и EXE-файлы на дискетах.
Под отладчиком и на Pentium-компьютерах выводит текст:
Vecna Live …
Имеет довольно серьезную ошибку – может вернуть управление оригинальному
обработчику INT 13h с испорченным содержимым регистра AX, что может
привести к потере данных на диске и даже к его форматированию.
Vecna.313
Неопасный резидентный файлово-загрузочный стелс-вирус.
Перехватывает INT 21h и записывается в конец COM-файлов при их запуске.
После старта из инфицированного COM-файла вирус также записывает свой код в
MBR жесткого диска и затем отдает управление файлу-носителю. При старте из
MBR-сектора вирус перехватывает INT 13h. Обработчик INT 13h затем маскирует
присутствие вируса в загрузочном секторе и перехватывает INT 21h. Вирус
никак не проявляет себя.
Vecna.Outsider
Опасный резидентный зашифрованный файлово-загрузочный вирус. Перехватывает
INT 13h, 28h. Заражает .EXE-файлы и boot-сектора дискет. Файлы заражает по
методу вируса “DirII”.
Через три месяца после заражения компьютера или под отладчиком портит CMOS (устанавливает пароль?) и выводит текст:
[OUTSIDER]
Esta В minha vinganЗa contra esta sociedade injusta
E eu ainda n|o estou satisfeito
Espere e ver|o…
Также содержит строку:
Written by Vecna/SGWW in Brazil 1997
Vecna.Tron
Безобидный резидентный загрузочный вирус. Перехватывает INT 1, 8, 13h и
записывается в MBR винчестера и boot-сектора дискет. Содержит текст:
[ORGASMATRON] by Vecna/SGWW in Brazil 1997
Для перехвата INT 13h использует отладочный режим и регистры DR0, DR6, DR7
процессора i386. При помощи этих регистров вирус устанавливает точку
останова на системный обработчик INT 13h в BIOS. Когда управление
передается на этот обработчик, процессор генерирует прерывание INT 1 и
управление передается на код вируса. Вирус проверяет регистры, при
необходимости вызывает процедуры заражения и стелс, выключает отладку и
возвращает управление обработчику INT 13h в BIOS. Для того, чтобы
восстановить точку останова и перехват INT 1 вирус использует вызовы INT 8 (таймер).
|