Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Очень опасный резидентный файлово-загрузочный стелс-вирус.
Заражает boot-сектора дискет, MBR винчестера и записывается поверх
EXE-файлов (портит их). При запуске зараженного EXE-файла записывается в
MBR винчестера, расшифровывает и выводит текст:



Out of memory.

и возвращает управление DOS. При загрузке с диска перехватывает INT 13h,
остается резидентно в памяти и заражает дискеты и EXE-файлы на дискетах.

Под отладчиком и на Pentium-компьютерах выводит текст:



Vecna Live …

Имеет довольно серьезную ошибку — может вернуть управление оригинальному
обработчику INT 13h с испорченным содержимым регистра AX, что может
привести к потере данных на диске и даже к его форматированию.

Vecna.313

Неопасный резидентный файлово-загрузочный стелс-вирус.
Перехватывает INT 21h и записывается в конец COM-файлов при их запуске.
После старта из инфицированного COM-файла вирус также записывает свой код в
MBR жесткого диска и затем отдает управление файлу-носителю. При старте из
MBR-сектора вирус перехватывает INT 13h. Обработчик INT 13h затем маскирует
присутствие вируса в загрузочном секторе и перехватывает INT 21h. Вирус
никак не проявляет себя.

Vecna.Outsider

Опасный резидентный зашифрованный файлово-загрузочный вирус. Перехватывает
INT 13h, 28h. Заражает .EXE-файлы и boot-сектора дискет. Файлы заражает по
методу вируса «DirII».

Через три месяца после заражения компьютера или под отладчиком портит CMOS (устанавливает пароль?) и выводит текст:



[OUTSIDER]

Esta В minha vinganЗa contra esta sociedade injusta

E eu ainda n|o estou satisfeito

Espere e ver|o…

Также содержит строку:



Written by Vecna/SGWW in Brazil 1997

Vecna.Tron

Безобидный резидентный загрузочный вирус. Перехватывает INT 1, 8, 13h и
записывается в MBR винчестера и boot-сектора дискет. Содержит текст:



[ORGASMATRON] by Vecna/SGWW in Brazil 1997

Для перехвата INT 13h использует отладочный режим и регистры DR0, DR6, DR7
процессора i386. При помощи этих регистров вирус устанавливает точку
останова на системный обработчик INT 13h в BIOS. Когда управление
передается на этот обработчик, процессор генерирует прерывание INT 1 и
управление передается на код вируса. Вирус проверяет регистры, при
необходимости вызывает процедуры заражения и стелс, выключает отладку и
возвращает управление обработчику INT 13h в BIOS. Для того, чтобы
восстановить точку останова и перехват INT 1 вирус использует вызовы INT 8 (таймер).

Класс	Virus
Платформа	Multi
Описание	Technical Details Очень опасный резидентный файлово-загрузочный стелс-вирус. Заражает boot-сектора дискет, MBR винчестера и записывается поверх EXE-файлов (портит их). При запуске зараженного EXE-файла записывается в MBR винчестера, расшифровывает и выводит текст: Out of memory. и возвращает управление DOS. При загрузке с диска перехватывает INT 13h, остается резидентно в памяти и заражает дискеты и EXE-файлы на дискетах. Под отладчиком и на Pentium-компьютерах выводит текст: Vecna Live … Имеет довольно серьезную ошибку — может вернуть управление оригинальному обработчику INT 13h с испорченным содержимым регистра AX, что может привести к потере данных на диске и даже к его форматированию. Vecna.313 Неопасный резидентный файлово-загрузочный стелс-вирус. Перехватывает INT 21h и записывается в конец COM-файлов при их запуске. После старта из инфицированного COM-файла вирус также записывает свой код в MBR жесткого диска и затем отдает управление файлу-носителю. При старте из MBR-сектора вирус перехватывает INT 13h. Обработчик INT 13h затем маскирует присутствие вируса в загрузочном секторе и перехватывает INT 21h. Вирус никак не проявляет себя. Vecna.Outsider Опасный резидентный зашифрованный файлово-загрузочный вирус. Перехватывает INT 13h, 28h. Заражает .EXE-файлы и boot-сектора дискет. Файлы заражает по методу вируса «DirII». Через три месяца после заражения компьютера или под отладчиком портит CMOS (устанавливает пароль?) и выводит текст: [OUTSIDER] Esta В minha vinganЗa contra esta sociedade injusta E eu ainda n\|o estou satisfeito Espere e ver\|o… Также содержит строку: Written by Vecna/SGWW in Brazil 1997 Vecna.Tron Безобидный резидентный загрузочный вирус. Перехватывает INT 1, 8, 13h и записывается в MBR винчестера и boot-сектора дискет. Содержит текст: [ORGASMATRON] by Vecna/SGWW in Brazil 1997 Для перехвата INT 13h использует отладочный режим и регистры DR0, DR6, DR7 процессора i386. При помощи этих регистров вирус устанавливает точку останова на системный обработчик INT 13h в BIOS. Когда управление передается на этот обработчик, процессор генерирует прерывание INT 1 и управление передается на код вируса. Вирус проверяет регистры, при необходимости вызывает процедуры заражения и стелс, выключает отладку и возвращает управление обработчику INT 13h в BIOS. Для того, чтобы восстановить точку останова и перехват INT 1 вирус использует вызовы INT 8 (таймер).

Virus.Multi.Vecna

Technical Details

Vecna.313

Vecna.Outsider

Vecna.Tron