|
V-SignTento boot virus se podle svΘ manipulaΦnφ rutiny naz²vß V-Sign a mß n∞kolik
zajφmav²ch vlastnostφ. Virus zabφrß dva sektory na disku a neuchovßvß
p∙vodnφ sektor. Do n∞ho toti₧ zapisuje jen sv∙j vlastnφ krßtk² inicializaΦnφ
program, kter² po aktivaci p°epφÜe v pam∞ti p∙vodnφm obsahem. Navφc virus
obsahuje (jako jeden z mßla boot vir∙) lehce polymorfnφ rysy. Cyklicky
toti₧ p°ehazuje n∞kterΘ instrukce loaderu tak, ₧e majφ poka₧dΘ jinΘ po°adφ.
P°i zavedenφ systΘmu z infikovanΘho mΘdia loader viru nejprve naΦte dva
sektory s t∞lem viru do pam∞ti, alokuje si 2 KB pam∞ti t∞sn∞ pod hranicφ
640 KB a zkopφruje se do nφ. Modifikuje vektor p°eruÜenφ 13h (prßce s
diskem), obnovφ p∙vodnφ obsah zavßd∞cφho sektoru a p°edß mu °φzenφ.
Virus pak monitoruje p°eruÜenφ 13h a p°i operacφch Φtenφ a zßpis je schopen
se Üφ°it. Pokud je na pevnΘm disku Φten libovoln² sektor na stop∞ 0, hlav∞
0, je p°i nßsledujφcφ operaci testovßna p°φtomnost viru na disku. U disket
virus testuje prvnφ byte tabulky FAT a podle n∞j rozpoznßvß typ diskety,
co₧ pot°ebuje pro urΦenφ pozice, na kterou ulo₧φ sßm sebe. Virus V-Sign mß
jeÜt∞ jednu pozoruhodnou vlastnost. P°i svΘ instalaci do pam∞ti toti₧
testuje p°φtomnost boot viru Stoned v pam∞ti a dokß₧e si z n∞ho vzφt p∙vodnφ
hodnotu p°eruÜenφ 13h a p°epsat jej v pam∞ti. Navφc, pokud zjistφ, ₧e dan²
disk je jφm sam²m ji₧ napaden, zkouÜφ napadnout i sektor, do kterΘho virus
Stoned uklßdß p∙vodnφ zavßd∞cφ sektor. Je tak mo₧nΘ, ₧e odstran∞nφm viru
Stoned n∞kter²mi antivirov²mi programy dojde k nßslednΘ reinfekci virem
V-Sign. V oblasti vir∙ sice odstran∞nφ jednoho viru druh²m nenφ novinkou,
ale metoda viru V-Sign je dost unikßtnφ. ManipulaΦnφ rutina viru spoΦφvß v
tom, ₧e na obrazovce je vypsßno velikΘ pφsmeno V, slo₧enΘ ze semigrafick²ch
znak∙. V²pis je zpo₧∩ovßn, tak₧e se cel² obrßzek objevuje postupn∞. PotΘ
je program zacyklen tak, ₧e nem∙₧e pokraΦovat a je nutno znovu poΦφtaΦ spustit.
ManipulaΦnφ rutina nastane velmi z°φdka, a sice pouze tehdy, je-li ·sp∞Ün∞
napadeno 64 disket. Proto₧e je vÜak ΦφtaΦ vynulovßn p°i ka₧dΘ instalaci viru
do pam∞ti, musφ se jednat o napadenφ v rßmci jednoho sezenφ, co₧ asi nebude
p°φliÜ obvyklΘ. Podobnß situace snad m∙₧e nastat pouze p°i velkoobjemovΘm
formßtovßnφ Φi p°i zßlohovßnφ velk²ch disk∙ na diskety.
Zdroj: Alwil software - v²robce antiviru AVAST
|
|
