Igiho stránka o virech
Novinky
Kniha o virech
1.Pomoc
Testy
Odkazy
Download
AV-Konference
Akce
Autor

V-Sign

Tento boot virus se podle své manipulační rutiny nazývá V-Sign a má několik zajímavých vlastností. Virus zabírá dva sektory na disku a neuchovává původní sektor. Do něho totiž zapisuje jen svůj vlastní krátký inicializační program, který po aktivaci přepíše v paměti původním obsahem. Navíc virus obsahuje (jako jeden z mála boot virů) lehce polymorfní rysy. Cyklicky totiž přehazuje některé instrukce loaderu tak, že mají pokaždé jiné pořadí. Při zavedení systému z infikovaného média loader viru nejprve načte dva sektory s tělem viru do paměti, alokuje si 2 KB paměti těsně pod hranicí 640 KB a zkopíruje se do ní. Modifikuje vektor přerušení 13h (práce s diskem), obnoví původní obsah zaváděcího sektoru a předá mu řízení. Virus pak monitoruje přerušení 13h a při operacích čtení a zápis je schopen se šířit. Pokud je na pevném disku čten libovolný sektor na stopě 0, hlavě 0, je při následující operaci testována přítomnost viru na disku. U disket virus testuje první byte tabulky FAT a podle něj rozpoznává typ diskety, což potřebuje pro určení pozice, na kterou uloží sám sebe. Virus V-Sign má ještě jednu pozoruhodnou vlastnost. Při své instalaci do paměti totiž testuje přítomnost boot viru Stoned v paměti a dokáže si z něho vzít původní hodnotu přerušení 13h a přepsat jej v paměti. Navíc, pokud zjistí, že daný disk je jím samým již napaden, zkouší napadnout i sektor, do kterého virus Stoned ukládá původní zaváděcí sektor. Je tak možné, že odstraněním viru Stoned některými antivirovými programy dojde k následné reinfekci virem V-Sign. V oblasti virů sice odstranění jednoho viru druhým není novinkou, ale metoda viru V-Sign je dost unikátní. Manipulační rutina viru spočívá v tom, že na obrazovce je vypsáno veliké písmeno V, složené ze semigrafických znaků. Výpis je zpožďován, takže se celý obrázek objevuje postupně. Poté je program zacyklen tak, že nemůže pokračovat a je nutno znovu počítač spustit. Manipulační rutina nastane velmi zřídka, a sice pouze tehdy, je-li úspěšně napadeno 64 disket. Protože je však čítač vynulován při každé instalaci viru do paměti, musí se jednat o napadení v rámci jednoho sezení, což asi nebude příliš obvyklé. Podobná situace snad může nastat pouze při velkoobjemovém formátování či při zálohování velkých disků na diskety.

Zdroj: Alwil software - výrobce antiviru AVAST

Zpět