V-Sign
Tento boot virus se podle své manipulační rutiny nazývá V-Sign a má několik
zajímavých vlastností. Virus zabírá dva sektory na disku a neuchovává
původní sektor. Do něho totiž zapisuje jen svůj vlastní krátký inicializační
program, který po aktivaci přepíše v paměti původním obsahem. Navíc virus
obsahuje (jako jeden z mála boot virů) lehce polymorfní rysy. Cyklicky
totiž přehazuje některé instrukce loaderu tak, že mají pokaždé jiné pořadí.
Při zavedení systému z infikovaného média loader viru nejprve načte dva
sektory s tělem viru do paměti, alokuje si 2 KB paměti těsně pod hranicí
640 KB a zkopíruje se do ní. Modifikuje vektor přerušení 13h (práce s
diskem), obnoví původní obsah zaváděcího sektoru a předá mu řízení.
Virus pak monitoruje přerušení 13h a při operacích čtení a zápis je schopen
se šířit. Pokud je na pevném disku čten libovolný sektor na stopě 0, hlavě
0, je při následující operaci testována přítomnost viru na disku. U disket
virus testuje první byte tabulky FAT a podle něj rozpoznává typ diskety,
což potřebuje pro určení pozice, na kterou uloží sám sebe. Virus V-Sign má
ještě jednu pozoruhodnou vlastnost. Při své instalaci do paměti totiž
testuje přítomnost boot viru Stoned v paměti a dokáže si z něho vzít původní
hodnotu přerušení 13h a přepsat jej v paměti. Navíc, pokud zjistí, že daný
disk je jím samým již napaden, zkouší napadnout i sektor, do kterého virus
Stoned ukládá původní zaváděcí sektor. Je tak možné, že odstraněním viru
Stoned některými antivirovými programy dojde k následné reinfekci virem
V-Sign. V oblasti virů sice odstranění jednoho viru druhým není novinkou,
ale metoda viru V-Sign je dost unikátní. Manipulační rutina viru spočívá v
tom, že na obrazovce je vypsáno veliké písmeno V, složené ze semigrafických
znaků. Výpis je zpožďován, takže se celý obrázek objevuje postupně. Poté
je program zacyklen tak, že nemůže pokračovat a je nutno znovu počítač spustit.
Manipulační rutina nastane velmi zřídka, a sice pouze tehdy, je-li úspěšně
napadeno 64 disket. Protože je však čítač vynulován při každé instalaci viru
do paměti, musí se jednat o napadení v rámci jednoho sezení, což asi nebude
příliš obvyklé. Podobná situace snad může nastat pouze při velkoobjemovém
formátování či při zálohování velkých disků na diskety.
Zdroj: Alwil software - výrobce antiviru AVAST

|