Подгруппа Vacsina
🕛 12.02.2009, 19:02
Данная подгруппа получила свое название в связи с тем, что все входящие в нее штаммы содержат строку "VACSINA". Заражаются как COM-, так и EXE-файлы, причем максимальная длина зараженных файлов не превышает 64К. Заражение файлов происходит при запуске на выполнение соответствующих программ. При заражении вирусы данной подгруппы дописывают свое тело в конец COM- и EXE-файлов. Штаммы подгруппы работоспособны на любой версии MS DOS. Проверка номера версии в теле вируса не выполняется. Перехватывают прерывание 21h.Заражаются только COM-файлы, имеющие размер мeнее 63К и начинающиеся с команды перехода (первый байт файла должен содержать E9h). Дата создания и атрибуты остаются неизменными. Заражение выполняется однократно. При заражении вирус дописывает тело в конец файла, вставляя в первые три байта команду перехода на начало вируса. Длина зараженного файла увеличивается до значения, кратного 16, поэтому при лечении недостаточно укорачивать файл на стандартную величину - исходная длина файла должна быть извлечена из тела вируса. В конце тела вируса хранятся байты F4h, 7Ah, по которым вирус определяет, что данный СOM-файл уже заражен.
Как уже отмечалось, заражение EXE-файлов выполняется данной группой очень своеобразно: в заголовок заражаемого EXE-файла записывается команда перехода на тело вируса (в данном случае тело представляет собой часть вируса размером 132 (84h), обеспечивающую загрузку EXE-файлов, т.е. по сути выполняет функции системного загрузчика). Таким образом, вирус переделывает зараженный EXE-файл в COM-файл. Этот "псевдозагрузчик" EXE-файлов обеспечивает настройку загруженного в память файла и передачу на него управления. Для лечения такого файла достаточно восстановить первые три байта с учетом первоначальной длины файла и укоротить файл на 132 байта. EXE-файлы, требующие не всю свободную память системы (не равна FFFF переменная MaxMem в заголовке), данным вирусом не заражаются. Кроме того, вирус не заражает файлы, размер которых больше 64К или размер которых превысил бы 64К при заражении. Поскольку после заражения EXE-файл фактически превращается в COM-файл, возможно его вторичное заражение вирусом, уже как файла типа COM.