Жанр: Учеба
Компьютерная вирусология ч. 1
... резидентностью файловых вирусов, является
способность некоторых бутовых вирусов сохраняться в памяти после
"мягкой" перезагрузки путем нажатия последовательности клавиш
Ctrl-Alt-Del. Это свойство мы будем обозначать буквой W (survive
Warm reboot) в префиксе. Все бутовые вирусы заражают дискеты, однако
некоторые из них заражают винчестер, а другие нет. Вирусы,
инфицирующие только дискеты (Brain, Den Zuk) будем обозначать префиксом
D.
При заражении бутсектора возможны два случая: заражение бутсектора
раздела С винчестера (префикс B) и заражение MBR є исполняемой
части таблицы разделов (префикс M). Поскольку одним из наиболее
распространенных случаев расположения хвоста бутового вируса
является его расположение в псевдосбойных кластерах (что легко определить,
просмотрев их содержимое с помощью Norton Utilities), то
для таких вирусов в суффикс будем включать букву х, за которой
следует количество этих кластеров, например Bx1.
Количественная характеристика бутового вируса. Выбор количественной
характеристики для бутовых вирусов имеет определенную специфику:
если для файловых вирусов наиболее характерным признаком
заражения является увеличение длины файла, то для бутовых вирусов
аналогичную роль играет уменьшение размеров оперативной памяти,
доступной для MS DOS. Однако, как указывалось выше, важным требованием
к выбору свойств вируса, используемых для классификации,
является возможность их определения на незараженной машине. Объем
оперативной памяти, сообщаемый MS DOS, этому критерию не отвечает.
Количество блоков памяти, используемых бутовым вирусом, этому критерию
не отвечает, поэтому от этой характеристики пришлось отказаться.
Было решено использовать другую "доступную для обозрения"
характеристику бутового вируса є содержимое зараженного бутсектора
(точнее первых его байтов). Вместе с тем, анализ объема памяти,
сообщаемого MS DOS, является очень полезным диагностическим приемом,
и при подозрении на заражение тем или иным вирусом, вызов
программы CHKDSK, сообщающей это значение (а также ряд других полезных
сведений, включая объем памяти, занятый на диске сбойными
кластерами), целесообразно вставлять в файл AUTOEXEC.BAT.
В качестве характеристики выбрано значение второго байта зараженного
бутсектора, поскольку его содержимое различно для известных
автору бутовых вирусов. В то же время содержимое этого байта
записывается в 16-ричной системе счисления, что создает определенную
несогласованность с характеристикой файловых вирусов, являющейся
десятичным числом. Именно поэтому в предлагаемом варианте
классификационного кода вируса префикс и характеристика разделяются
знаком "-" (минус).
Следует еще раз подчеркнуть, что просматривать содержимое бутсектора
следует только предварительно загрузившись с защищенной от
записи резервной дискеты с операционной системой и требуемыми антивирусными
программами, поскольку сама операция просмотра на зараженной
машине может либо перехватываться вирусом для подстановки
"чистого" бутсектора (так, например, маскируется вирус Brain), либо,
что еще хуже, служить триггером для каких-то несанкционированных
действий. Следует использовать так называемую "холодную" перезагрузку
(с помощью клавиши RESET, если она есть, или путем выключения
питания, если ее нет), а не "теплую" перезагрузку (нажатием
клавиш CTRL-ALT-DEL). Это требование основано на том факте, что
ряд бутовых вирусов перехватывает прерывание от клавиатуры и при
"теплой" перезагрузке MS DOS сохраняет себя в памяти, даже если
перезагрузка идет с защищенной системной дискеты.
Дескриптор бутового вируса. Структура дескриптора бутового вируса
приведена в прил.2.
Сигнатура бутового вируса. Для бутовых вирусов сигнатуры M, I и
B будут использоваться аналогично тому, как это было для файловых
вирусов, а J-сигнатура є в несколько измененном виде. В отличие от
J-сигнатуры для файловых вирусов, в которой байты, соответствовавшие
команде перехода, не учитывались, здесь они будут учитываться.
Это связано с тем, что первой командой бутсектора всегда является
команда обхода таблицы параметров диска (см. прил.6), размер которой,
в отличие от размера заражаемого файла, не меняется. Поэтому
для бутовых вирусов мы преимущественно будем использовать J-сигнатуру,
состоящую из первых трех байтов бутсектора и лишь при необходимости
дополнять ее, начиная с байта, на который выполняется
команда перехода.
Для незараженного бутсектора MS DOS версии 3.3 J-сигнатура равна
EB3490h (объектный код команды JMP, служащий для обхода таблицы
параметров). Ценность этой эталонной J-сигнатуры состоит в том,
что она легко запоминается. Поэтому несовпадение первых трех байтов
анализируемого бутсектора с указанной эталонной J-сигнатурой
свидетельствует о зараженности бутсектора (отметим, что совпадение
еще ни о чем не говорит). В прил.2 приведены краткие сведения о
бутовых вирусах, обнаруженных в СССР.
3.4. Использование классификационных таблиц
в качестве части документации
к антивирусным программам
В заключение отметим, что предлагаемая классификация является,
по существу, одной из первых попыток стандартизации, поэтому она,
конечно, не лишена недостатков, и естественно, должна совершенствоваться.
В то же время любой классификации присущи те или иные
недостатки и ожидание идеальной классификации глубоко ошибочно.
Здесь, как и в большинстве областей программирования (например, в
языках высокого уровня), пожалуй, важнее во-время сделать ставку
на какой-то более или менее приемлемый вариант, чем самому тратить
время и силы на разработку более удачной альтернативы.
Поэтому разработчикам антивирусных программ имеет смысл использовать
описанную классификацию при подготовке документации и выдаче
диагностических сообщений, даже имея некоторые возражения к
принятому подходу. Поскольку автор регулярно обновляет приведенные
таблицы вирусов, основанные на предложенной классификации, их использование
в качестве части документации к распространяемым антивирусным
программам не только повысит полноту и качество последней,
но и сэкономит время на последующую корректировку, которая
может быть выполнена просто путем замены предыдущей редакции таблиц
на текущую.
Использование в антивирусных программах кода и дескриптора
вируса упрощает программирование ряда компонент и создает
некоторые нетривиальные возможности. В простейшем случае
дескриптор вируса можно рассматривать как способ упаковки файла
оперативной подсказки сведений о найденном вирусе. При выдачи
информации о вирусе по клавише HELP (F1) содержащуюся в нем
достаточно подробную информацию можно развернуть до практически
полного описания найденного вируса путем замены значения каждого
из полей дескриптора на соответствующие ему стандартные фразы на
русском или английском языке. В этом случае, вместо двух-трех
малоинформативных фраз, выдаваемых на экран в виде оперативной
подсказки (по принципу "получи и отвяжись"), пользователь получает
действительно полезную информацию.
4. НЕРЕЗИДЕНТНЫЕ ФАЙЛОВЫЕ ВИРУСЫ,
ОБНАРУЖЕННЫЕ В СССР
Ниже приводятся описания нерезидентных файловых вирусов, изученных
автором на момент выхода данной работы. В целях систематизации
описываемые вирусы разбиты на несколько групп. Как для самих
групп, так и вирусов внутри группы изложение ведется в основном в
хронологическом порядке (по появлению в Киеве).
4.1. Венская группа
Венская группа берет свое начало с вируса С-648. Для данной
группы характерен механизм поиска зараженных файлов, который выполняется
во всех каталогах, сцепленных командой PATH, и использование
поля секунд для отметки зараженных файлов. В настоящее время
включает три штамма, наиболее распространенным из которых является
исторически первый є С-648. Указанные штаммы отличаются по методу
включения троянской компоненты, которая вызывает уничтожение COMфайлов
путем перехода на подпрограмму перезагрузки операционной
системы. Большинство штаммов используют для этой цели текущее значение
таймера (см.ниже), однако некоторые (которыми мы не располагаем)
є значение даты создания файла. Наиболее распространены
штаммы с длинами 648, 623, 627 байтов.
4.1.1. Базисный вирус С-648 (Vienna є Вена)
Название вируса С-648 связано с тем, что после запуска зараженной
программы вирус активируется и ищет файл-жертву. Если файлжертва
был найден в определенный момент времени (среди последних
трех битов 16-ричного представления секунд нет ни одной единицы),
то вместо заражения программы, содержащейся в этом файле, С-648
вставляет в начало этой программы команды перехода на подпрограмму
"теплого рестарта", делая тем самым программу в соответствующем
СОМ-файле неработоспособной. "Убитые" вирусом программы не могут
быть восстановлены без наличия информации о начале программы, а
зараженные могут "излечиваться" с помощью соответствующего фага.
Формально вирус С-648 є файловый нерезидентный вирус, поражающий
файлы типа СОМ. Функционирует на версиях MS DOS, начиная с 2.0.
Стратегия заражения є поиск файла с расширением СOM в каталогах,
сцепленных в PATH. Заражение СOMMAND.COM выполняется так же, как и
заражение любого другого COM-файла: никаких механизмов по поиску
размещения командного процессора вирус не содержит. При заражении
он дописывается в конец программы и одновременно вставляет в первые
три байта COM-файла команду перехода на тело вируса. При этом
размер файла увеличивается на 648 байтов, дата создания файла и
атрибуты файла не меняются. Заражение выполняется однократно. Минимальный
размер заражаемых файлов є 10 байтов (0Ah), максимальный
є (FA00h). Поскольку вирус определяет тип файла только по расширению,
заражение EXE-файлов с расширением COM выполняется неправильно.
Это приводит к потере работоспособности зараженных файлов
указанного типа: их запуск обычно ведет к зависанию системы. После
обработки такой программы фагом работоспособность восстанавливается.
Для отличения зараженных файлов от незараженных используются
младшие четыре бита времени создания файла (для зараженных файлов
они все устанавливаются в единицу, что соответствует несуществующему
количеству секунд є 62 с.). Следует отметить, что как команда
DIR, так и распространенные оболочки типа Norton Commander не показывают
поле секунд, выдавая содержимое каталога на экран. Поэтому
это изменение достаточно хорошо скрыто от пользователя.
При запуске инфицированной программы управление сначала получает
сам вирус. Получив управление, вирус устанавливает свою область
передачи данных, осуществляет поиск файлов типа COM на всех дисках
и во всех каталогах, сцепленных с помощью команды PATH. При нахождении
такого файла вирус прежде всего проверяет его время создания,
по которому определяет, заражен уже этот файл или нет. Если
файл отмечен как незараженный и его длина больше десяти байтов, то
он рассматривается как "потенциальная жертва" и вирус приступает к
его заражению. При этом вирус не проверяет, не является ли файл на
самом деле файлом типа EXE (начинающимся с "MZ"), ошибочно или намеренно
"замаскированным" под файл типа COM. Указанные файлы в
случае заражения уничтожаются.
Следует отметить, что защита файлов атрибутами READ ONLY и
HIDDEN в MS DOS недостаточно эффективна, поскольку вирус легко изменяет
эти атрибуты. Сначала вирус запоминает атрибуты, дату и
время создания заражаемого файла. Затем сбрасывает атрибут READ
ONLY, если он был установлен, открывает файл на запись и считывает
текущее время. Если выданное по прерыванию 21-2С содержимое регистра
DH содержит в последних трех битах нули (т.е. системные часы
показывают 0, 8, 16, 24, 32, 40, 48 или 56 с.), то вирус предпринимает
попытку уничтожения "потенциальной жертвы". Иначе выполняется
попытка заражения. Другими словами, приблизительно в 12% пораженных
вирусом программ уничтожены первые пять байтов.
Уничтожение выполняется путем записи в первые пять байтов команды
перехода на подпрограмму перезагрузки BIOS (переход по адресу
F000:FFF0). В дальнейшем при попытке выполнить "пораженную" программу
вместо ее выполнения будет выполняться перезагрузка MS DOS.
Если при этом программа входит в AUTOEXEC.BAT, то при загрузке
произойдет зацикливание и с винчестера или данной системной дискеты
загрузиться нельзя без корректировки AUTOEXEC.BAT.
При заражении, которое выполняется, только если хотя бы один из
последних трех битов времени создания файла равен единице, вирус
переписывает свой код в конец файла и заносит в первые три байта
команду JMP для передачи ему управления. После этого С-648 восстанавливает
дату, время и атрибуты уже зараженного файла, и управление
передается программе-вирусоносителю. При восстановлении даты
количество секунд устанавливается равным 62 (т.е. последним четырем
битам присваиваются значение 1111). По этому значению вирус
отличает зараженные файлы от незараженных, что обеспечивает
однократность заражения. Впрочем, при архивировании зараженных
файлов поле секунд может теряться (количество секунд во времени
создания файла не выдается ни одной командой MS DOS), что приведет
к повторному заражению.
Поскольку вирус C-648 не проверяет, находится ли заражаемый или
уничтожаемый файл на защищенной дискете или нет, то в этом случае
выдается обычное сообщение операционной системы:
Write protect error writing device "лог.имя.устр."
Abort, Retry, Ignore, Fail?
в ответ на которое неопытные пользователи часто снимают защитную
заклейку прорези дискеты, тем самым разрешая вирусу заразить очередную
программу. Этот эффект представляет интерес как наглядная
демонстрация того непреложного факта, что человек является важнейшим
звеном в любой системе обеспечения безопасности.
Исторические замечания. Данный вирус появился в США в 1987 г. и
получил широкое распространение в Западной Европе в 1988 г. Об
этом, в частности, свидетельствует тот факт, что среди средств
борьбы с этим вирусом имеются немецкие, польские, чешские и австрийские
программы.
В СССР вирус С-648 появился приблизительно в августе 1988 г.,
когда он был обнаружен в лаборатории Института программных систем
(Переславль-Залесский). Возможно, он попал туда во время проведения
институтом (совместно с ЮНЕСКО) Международного детского компьютерного
летнего лагеря. Поскольку этот вирус к середине 1988 г.
был уже довольно распространен в Западной Европе, включая соцстраны,
он несомненно завозился в СССР неоднократно, c различного рода
новыми версиями программного обеспечения и компьютерными играми. В
Киеве этот вирус появился в конце 1988 г., а наибольшее распространение
получил примерно в апреле 1989 г., после чего его эпидемия
пошла на убыль, что прежде всего связано с достаточной распространенностью
средств защиты от этого вируса. Одним из переносчиков
этого вируса в Киеве являлся адаптированный вариант программы
SideKick (шестерка). К сожалению, по стране распространяется откомментированный
исходный текст данного вируса, который, в частности,
был включен В.Бончевым в его "вирусную" дискету. Доступность
исходных текстов сделало этот вирус базой для многочисленных штаммов
и несколько таких штаммов уже выявлено в СССР(см. ниже описание
вирусов С-534 и С623).
Первыми антивирусными программами, попавшими в Киев и ориентированными
на борьбу с этим вирусом, были зарубежные программы, распространявшиеся
в виде случайного набора набора на дискете. Среди
них наибольшей популярностью на начальном этапе пользовались детектор
DIAG и фаг CURE Д.Сопчека (ПНР), DR_NO, FAG_OM и др. Отечественные
средства появились несколько позднее, однако со временем
основным средством борьбы стали такие отечественные полифаги, как
AIDSTEST, DOCTOR, VDEATH и др.
Неформальные названия. Данный вирус имеет не менее десятка неформальных
названий. Среди них: Vienna (Вена), DOS-62, Time Bomb
(Часовая мина), Flea (Блоха), вирус перезагрузки, VHP-648',
RESTART (Рестарт є О.Котик), Rebooter (Перезагрузчик), P-virus,
Omega (Омега). Полидетектор SCAN называет данный вирус "Vienna
(DOS 62) Virus є Version A [Vienna]".
Программные средства защиты. Для данного вируса имеется огромное
количество программ типа детекторов и фагов. При этом большинство
из них не указывают, для какого типа вируса они предназначены. Поэтому
очень часто в "батарее антивирусных средств", составляемых
на многих ВЦ, используется несколько эквивалентных по своим функциональным
возможностям детекторов или фагов для этого типа вируса.
Уничтоженные вирусом файлы, т.е. файлы, в которых вместо первых
пяти байтов записана команда безусловного перехода на перезагрузку
MS DOS (EA F0 FF 00 F0), можно восстановить, только если
первые байты программы были предварительно записаны в справочном
файле программой-ревизором (типа CRCDOS). В настоящее время все
полидетекторы и все полифаги обрабатывают программы, зараженные
данным вирусом. Автор рекомендует полифаг AIDSTEST. Защита винчестера
от данного вируса облегчается при использовании программы
Advanced Disk Manager, которая позволяет устанавливать защиту записи
и для разделов винчестера. Вакцина от данного вируса может
быть создана двумя способами. Во-первых, поскольку при поиске слова
PATH вирус фактически ищет подстроку "PATH=", его можно "навести
на ложный аэродром", вставив в AUTOEXEC.BAT строку вида
SET XPATH = Х:\DUMMY до "настоящей" строки SET PATH=. В приведенном
примере DUMMY є несуществующий каталог, а первая (или несколько
первых) букв в имени ловушки могут быть произвольными. В этом
случае вирус "поймает" первую букву "P", входящую в слово XPATH и
будет пытаться искать файлы на несуществующем диске Х и несуществующем
каталоге DUMMY. Аналогичную ловушку можно ставить и на
COMSPEC, и хотя для данного вируса она не нужна, важно понимать,
что данную идею "обмана" вирусов можно развить в нескольких направлениях.
Другими словами, она может быть обобщена до некоторого
универсального приема использования особенностей кодировки соответствующих
частей вируса. Кроме того, целесообразно создать каталог
BAT (имя может быть произвольным) и записать в него пакеты для
вызова часто используемых программ в виде BATCH-файлов. В этом
случае достаточно указать в PATH только этот каталог, что вполне
безопасно, поскольку ни одного файла типа COM в нем нет. Этот способ,
наряду с повышением безопасности, ускоряет вызов программ,
позволяет настроить среду и передать стандартные параметры. Поэтому
его стоит использовать как можно шире.
Второй способ вакцинирования состоит в записи в последние четыре
бита времени создания файла четырех единиц для всех файлов типа
COM. Это соответствует невозможному количеству секунд (62) во времени
создания (последние четыре бита хранят половинное количество
секунд). Именно так вирус помечает зараженные им файлы. Правда,
здесь существует опасность, что при обработке тем или иным фагом
последний может принять чистые файлы за зараженные, однако эта
проблема носит скорее теоретический, чем практический характер.
Фрагмент дампа дрозофилы, зараженной вирусом C-648
+-------- команда передачи управления телу
+----+ вируса
000: E90D009090909090 9090909090909090 ................
+- ****** -------- J-сигнатура (звездочками поме-
| чены изменяемые вирусом байты)
010: 51BA0903FC8BF281 C60A00BF0001B903 Q...............
020: 00F3A48BF2B430CD 213C007503E9C701 ......0.!".u....
030: 06B42FCD21899C00 008C84020007BA5F ../.!.........._
040: 009003D6B41ACD21 06568E062C00BF00 .......!.V..,...
050: 005E5681C61A00AC B90080F2AEB90400 .^V.............
060: ACAE75EDE2FA5E07 89BC16008BFE81C7 ..u...^.........
1E0: 00BA1F009003D6CD 211EB41A8B940000 ........!.......
1F0: 8E9C0200CD211F59 33C033DB33D233F6 .....!.Y3.3.3.3.
200: BF00015733FFC2FF FF8000ED251B0121 ...W3.......%..!
210: 002000909090E90D 002A2E434F4D001C . .......*.COM..
220: 002006504154483D 473634382E434F4D . .PATH=G648.COM
230: 2020202020202020 2020202020202020
*** последующие строки идентичны предыдущей ***
260: 2020202020202020 033F3F3F3F3F3F3F .???????
270: 3F434F4D030500EE 0200000000201B01 ?COM......... ..
280: 2100100000004736 34382E434F4D004D !.....G648.COM.M
290: 000000EAF0FF00F0 ........
Фрагмент дампа дрозофилы, "уничтоженной" вирусом С-648
000: EAF0FF00F0909090 9090909090909090 ................
4.1.2. Штамм С-623 (Vienna-X)
Вирус С-623 отличается от C-648 наличием обработки ненормальных
окончаний, что обеспечивает подавление сообщений вида
Write protect error writing device "лог.имя.устр."
Abort, Retry, Ignore, Fail?
при попытке записи на защищенную дискету. Кроме того, в уничтожаемые
модули записывается переход по адресу C800:0000. Возможно, автор
предполагал, что в результате будет выполнена форматизация диска.
Уничтоженные модули можно искать по сигнатуре EA000000C8.
Данный штамм содержит подпрограмму обработки ошибок ввода/вывода.
Поэтому при попытке заражения программы, расположенной на защищенной
дискете, не выдается соответствующего сообщения MS DOS.
Исторические сведения. Передан автору Д.Н.Лозинским. Обнаружен в
конце 1989 г.
Программные средства защиты. См. прил.1.
Фрагмент дрозофилы, зараженной вирусом C-623
000: E9A0009090909090 9090909090909090 ................
010: 8000ED251B012100 2000909090E9A000 ...%..!. .......
020: 2A2E434F4D001C00 0E04504154483D47 *.COM.....PATH=G
030: 3632332E434F4D00 0000202020202020 623.COM...
040: 2020202020202020 2020202020202020
050: 2020202020202020 2020202020202020
060: 2020202020202020 2020202020202003 .
070: 3F3F3F3F3F3F3F3F 434F4D030700EE02 ????????COM.....
080: 00000000201B0121 0010000000473632 .... ..!.....G62
090: 332E434F4D000000 0000EA000000C856 3.COM..........V
0A0: 050E2551BA1001FC 8BF283C60ABF0001 ..%Q............
0B0: B90300F3A48BF2B4 30CD213C007503E9 ........0.!".u..
0C0: A80106B42FCD2189 1C8C4402B82435CD ..../.!...D..$5.
0D0: 21899C8F008C8491 0007B824258BD681 !..........$%...
230: 8B54068B4C0480E1 E080C91FB80157CD .T..L.........W.
240: 21B43ECD21B80143 8B4C08BA1F0003D6 !.".!..C.L......
250: CD211EB41A8B148E 5C02CD21B824258B .!......\..!.$%.
260: 948F008E9C9100CD 211F5933C033DB33 ........!.Y3.3.3
270: D233F6BF00015733 FFC2FFFFB000CF .3....W3.......
4.1.3. Штамм C-627 (Vienna-Y)
В штамме 627 исключен блок уничтожения программы.
Исторические сведения. Передан автору Д.Н.Лозинским. Обнаружен в
конце 1989 г.
Программные средства защиты. См. прил.1.
4.2. Польская группа
Польская группа включает несколько штаммов, стратегия заражения
которых основана на поиске файлов с расширением COM в текущем каталоге
и использовании для отметки зараженных файлов не значение
62 с. в поле секунд, а 13 месяца. Она включает два почти идентичных
вируса С-507 и С-534, из которых в нашу страну попал только
второй. Анализ кода создает впечатление о том, что основные идеи
заимствованы у венского вируса, онако это впечатление может быть и
ложным. В связи с используемым методом отметки зараженных файлов
группа практически полностью уничтожена.
4.2.1. Вирус С-534 (Toothless є Беззубый, W13)
В коде вируса C-534 прослеживаются явные аналогии с кодом вируса
С-648, однако чувствуется более низкая квалификация автора. Возможно,
автор пользовался комментированным листингом вируса С-648
(по-видимому, австрийского происхождения). Против этого предположения
говорит тот факт, что стратегия заражения существенно упрощена,
а признак зараженности файла изменен на более заметный, хотя
при создании штаммов чаще наблюдаются попытки "улучшить" эти участки
кода. Формально вирус С-534 є файловый нерезидентный вирус,
поражающий файлы типа СОМ. Функционирует на версиях MS DOS, начиная
с 2.0. Длина 534 (216h) байта. Заражаются только .COM-файлы
длиной от 256(100h) до FA00h байт в текущем и корневом каталогах.
Заражение происходит при запуске инфицированной программы, при
этом заражается не более одного файла. При выполнении зараженной
программы управление передается на начало вируса. Вирус восстанавливает
первые 3 байта основной программы, ищет незараженный файл с
расширением СОМ и заражает его. Это ведет к потере рабоспособности
EXE файлов, записанных с расширением COM. Работоспособность таких
файлов может быть восстановлена путем применения соответствующего
фага.
Стратегия заражения є поиск файла-жертвы в текущем и корневом
каталогах. Поражает СOMMAND.COM. При заражении он дописывается в
конец программы и одновременно вставляет в первые три байта COMфайла
команду перехода на тело вируса. При этом размер файла увеличивается
на 534 байта, дата создания файла и атрибуты файла изменяются
(вирус снимает атрибут READ ONLY и из-за ошибки в тексте
не восстанавливает его; кроме того, в дате подставляется 13 (0Dh)
месяц). Заражение выполняется однократно. Минимальный размер заражаемых
файлов є 256 байтов (100h), максимальный є чуть меньше 64К
(FA00h). При попытке заражения у файла проверяется значение месяца
последней его модификации и, если оно равно 0Dh (13-й месяц), то
файл не заражается. Очевидно, что данный метод предотвращения повторного
заражения является вариантом метода, использованного в
"базовом" вирусе С-648 с той разницей, что вместо секунд используется
месяц.
Как и С-648, вирус C-534 не проверяет, находится заражаемый файл
на защищенной дискете или нет, и в этом случае выдается обычное
со
...Закладка в соц.сетях
