Жанр: Учеба
Компьютерная вирусология ч. 1
...общение операционной системы:
Write protect error writing device "лог.имя.устр."
Abort, Retry, Ignore, Fail?
При заражении EXE-файлов с расширением COM наблюдаются те же
проблемы, что и для вируса С-648.
Исторические замечания. Обнаружен в Польше в ноябре 1988 г. В
Киеве появился приблизительно в октябре 1989 г. Первым фагом для
данного вируса, распространяемым бесплатно, вероятно был полифаг
Д.Н.Лозинского.
Методы и программные средства защиты. Методы защиты аналогичны
методам защиты от вируса С-648. Рекомендуется использовать программы,
указанные в прил.1.
Фрагмент дампа программы DUMY0400.COM,
зараженной вирусом C-534
100 E98D019090909090 9090909090909090 ................
110 9090909090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
280 9090909090909090 90909090909090C3 ................
290 50BEF5038BD681C6 0000FCB90300BF00 P...............
2A0 01F3A48BFAB430CD 213C007503E93F01 ......0.!".u..?.
2B0 BA2C0003D78BDAB4 1ACD21BD00008BD7 .,........!.....
2C0 81C20700B90300B4 4ECD21E90400B44F ........N.!....O
3E0 00438B8D2200CD21 BA8000B41ACD2158 .C.."..!......!X
3F0 BF000157C3EBFE90 E98D015C3F3F3F3F ...W.......\????
400 3F3F3F3F2E434F4D 00545259302E434F ????.COM.TRY0.CO
410 4D004D0000000020 00E4812400000000 M.M.... ...$....
420 00073F3F3F3F3F3F 3F3F434F4D030900 ..????????COM...
430 000046510F0920E4 8124009001000054 ..FQ....$.....T
440 5259302E434F4D00 4D0000006F736F66 RY0.COM.M...osof
450 7479726967687420 4D6963726F736F66 tyright Microsof
460 7479726967687420 4D6963726F736F66 tyright Microsof
470 7479726967687420 4D6963726F736F66 tyright Microsof
480 7479726967687420 4D6963726F736F66 tyright Microsof
490 7479726967687420 4D6963726F736F66 tyright Microsof
4.2.2. Вирус С-507
(13 месяц-Б, Toothless-B є Беззубый-Б, W13-B)
Данный штамм представляет собой более отлаженный вариант предыдущего
вируса. Ищет заражаемые файлы только в текущем каталоге.
Другие подробности неизвестны. Вирус детектируется полидетектором
SCAN и входит в версии списка П.Хоффман, начиная с датированной 10
августа 1990 г.
4.3. Группа IV (Amstrad)
Данная группа в настоящее время состоит из трех представителей с
длинами 847, 740 и 345 байт. На расстоянии 2-3 байта от начала в
этих вирусах стоят буквы "IV". Из этой группы SCAN опознает только
IV-847, называя его "Amstrad Virus [Amst]". П. Хоффман описывает
ряд других, неизвестных в нашей стране штаммов. В их числе штаммы
с длиной 277 и 299 байтов, которые аналогичны вирусу С-345, однако
текст сообщения исключен и вместо кода, обеспечивающего выдачу сообщения,
вставлен код, создающий ошибку четности (Parity error)
приблизительно в 50% случаев запуска программы. Вирусы этой группы
являются одними из наиболее простых файловых вирусов. Они заражают
только COM-файлы в текущем каталоге, причем при заражении не предусмотрено
ни сохранение даты, ни контроль длины. Заражение производится
приписываением тела вируса к началу файла. Таким образом,
в зараженной программе вирус располагается в начале, что встречается
довольно редко.
Существенной разницы в функционировании штаммов нет: в данном
случае большая длина вируса не означает усложнения механизма его
работы. Все три штамма заражают только файлы с расширение "COM" в
текущем каталоге, причем правильность расширения не проверяется.
Как и в случае с вирусом С-648, это приводит к повреждению EXEфайлов
с расширением COM: после заражения файлы становятся неработоспособными
и их запуск обычно ведет к зависанию системы. Данное
повреждение может быть устранено "выкусыванием" вируса из программы.
4.3.1. C-345 (Pixel є Пиксель)
Получив управление, данный вирус переписывает собственное тело в
область памяти, отстоящую от области загрузки данной программы на
64К. Это действие может привести к нарушению работы системы в случае
наложения копии на резидентные программы. Затем вирус выполняет
поиск в текущем подкаталоге файла типа с расширением COM. Если
такой файл обнаружен, то он считывается в память, располагаясь непосредственно
за копией вируса (таким образом вся область памяти
практически представляет собой образ зараженной вирусом программы).
Если второй и третий байты считанной программы принимают значения
49h и 56h ("IV"), то вирус считает, что данная программа уже
заражена. В противном случае в файл, из которого была считана программа,
"сбрасывается" область оперативной памяти, начиная с тела
вируса. За одно выполнение зараженной программы вирус предпринимает
попытку заражения всех файлов в текущем каталоге. Очевидно, что
процесс заражения прекращается, если все файлы в текущем каталоге
уже заражены.
При каждом вызове зараженной программы вирус увеличивает значение
специального счетчика, а затем выполняет проверку его содержимого.
Если значение счетчика равно 5, то вирус считывает значение
таймера, и, если оно нечетно, то на экран выводится сообщение
Program sick error:
Call doctor or buy PIXEL for cure description;
и выполнение программы блокируется. Это сообщение содержится в теле
вируса в незашифрованном виде. Поэтому иногда этот вирус называют
PIXEL. После завершения своей работы вирус сдвигает тело программы,
вместе с которой он первоначально был загружен в память,
на количество байт, равное длине вируса, и передает управление на
начало программы.
Исторические замечания. Исходный текст данного вируса был опубликован
в Греции журналом Пиксель (Pixel). В СССР попал на вирусной
дискете В.Бончева. Первым фагом для данного вируса был, по-видимому,
полифаг Д.Н.Лозинского.
Неформальные названия. Распространенным неформальным названием
этого вируса является Pixel. Д.Н.Лозинский называет данный вирус
IV-345.
Программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-345
000: EB3B4956012A2E43 4F4D000000000000 .;IV.*.COM......
010: 0000000000000000 0000000000000000 ................
020: 0000000000000000 0000000000000000 ................
030: 0000000000000000 0000000000508CC8 .............P..
040: 0500108EC0FE0604 01BE000133FFB959 ............3..Y
050: 0190F3A4BA1101B4 1ACD21BA0501B906 ..........!.....
060: 00B44ECD21724BBA 2F01B8023DCD218B ..N.!rK./...=.!.
0D0: D801B409CD21CD20 50726F6772616D20 .....!. Program
0E0: 7369636B20657272 6F723A43616C6C20 sick error:Call
0F0: 646F63746F72206F 7220627579205049 doctor or buy PI
100: 58454C20666F7220 6375726520646573 XEL for cure des
110: 6372697074696F6E 0A0D24BE3702B922 cription..$.7.."
120: 0033FFF3A45B2EC7 060B0100002E8C06 .3...[..........
130: 0D012EFF2E0B011E 07BE5902BF0001B9 ..........Y.....
140: FFFF2BCEF3A42EC7 06000100012E8C1E ..+.............
150: 02018BC32EFF2E00 01B409BA0901CD21 ...............!
160: CD20333435205669 7275732033343520 . 345 Virus 345
170: 6279746573202124 bytes !$
4.3.2. C-847 (Amstrad)
Вирус практически полностью аналогичен предыдущему, за исключением
того, что проверка на зараженность программы выполняется по
третьему и четвертому байтам и буфер для чтения/записи размещен в
теле вируса.
Исторические замечания. В СССР попал в сентябре 1989 г. на вирусной
дискете В.Бончева. Первые случаи заражения отмечены в Москве
в марте 1990 г. Вирус можно отнести к числу самых старых, простейших
вирусов. Вирус Amstrad был передан McAfee в ноябре 1989 г.
Джиан Луз (Jean Luz), однако был известен в Испании и Португалии
по меньшей мере за год до этого. Этот штамм не заражает
COMMAND.COM и содержит "самозванную" рекламу компьютеров фирмы
Amstrad.
Неформальные названия. Д.Н.Лозинский называет данный вирус IV847.
Полидетектор SCAN называет данный вирус "Amstrad Virus
[Amst]".
Программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-847
000: EB14904956012A2E 434F4D004F040000 ...IV.*.COM.O...
010: 0100000000008CC8 0500108EC0FE0605 ................
020: 01BE000133FFB94F 01F3A4BA5F02B41A ....3..O...._...
030: CD21BA0601B90600 B44ECD217260BA7D .!.......N.!r`.}
040: 02B8023DCD21A314 018BD8061FBA4F03 ...=.!........O.
050: B9FFFFB43FCD2105 4F032EA312013E81 ....?.!.O.....".
060: 3E52034956742133 C98BD12E8B1E1401 "R.IVt!3........
0C0: CD21CD2050726F67 72616D207369636B .!. Program sick
0D0: 206572726F723A43 616C6C20646F6374 error:Call doct
0E0: 6F72206F72206275 7920504958454C20 or or buy PIXEL
0F0: 666F722063757265 2064657363726970 for cure descrip
100: 74696F6E0A0D24BE 2402B92B0033FFF3 tion..$.$..+.3..
110: A433FF2EC7060E01 00002E8C0610012E .3..............
120: FF2E0E011E07BE4F 04803E0501017504 .......O.."...u.
300: 508D46AE509A4387 751883C4049A8085 P.F.P.C.u.......
310: 7518FF76088D865E FF508D46AE50E8A8 u..v...^.P.F.P..
320: 0583C4068946FE3D FFFF74053D010075 .....F.=..t.=..u
330: 03E8A0D0837EFE01 7403E947FE837E08 .....~..t..G..~.
340: 0075288D46AE509A 9487751883C402B4 .u(.F.P...u.....
350: 09BA0901CD21CD20 3834372056697275 .....!. 847 Viru
360: 7320383437206279 746573202124 s 847 bytes !$
4.3.3. C-740 (Canser є Рак)
C-740 не контролирует и своего наличия в модуле, в связи с чем
заражение происходит многократно.
Исторические замечания. В СССР попал в сентябре 1989 г. на вирусной
дискете В.Бончева.
Неформальные названия. Д.Н.Лозинский называет данный вирус IV740.
Программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-740
000: EB14904956012A2E 434F4D00E4030000 ...IV.*.COM.....
010: 0000000000008CC8 0500108EC0FE0605 ................
020: 01BE000133FFB9E4 00F3A4BAF401B41A ....3...........
030: CD21BA0601B90600 B44ECD217257BA12 .!.......N.!rW..
040: 02B8023DCD21A314 018BD8061FBAE402 ...=.!..........
220: 4B2D83C40489865C FF833E1A1E00741D K-.....\.."...t.
230: 833E1C1E007516B8 2B4B509A94877518 ."...u..+KP...u.
240: 83C4020BC07406C7 061C1E0100FFB65C .....t.........\
250: FF8D46AE509A6A86 751883C404FF7606 ..F.P.j.u.....v.
260: 8D865EFF509A6A86 751883C404FF7608 ..^.P.j.u.....v.
270: 8D46AE508D865EFF 50E8F60083C40689 .F.P..^.P.......
280: 8654FF3DFEFF7503 E9F9FEFF361C1EFF .T.=..u.....6...
290: B65CFFE8794183C4 04898656FF3DFFFF .\..yA.....V.=..
2A0: 7503E9DFFE0BC074 2C837E08007526FF u......t,.~..u&.
2B0: 361A1E8D865EFF50 E8544183C4048986 6....^.P.TA.....
2C0: 58FF3DFFFF7503E9 BAFE3D01001BC0F7 X.=..u....=.....
2D0: D8898656FF8D46AE 509A0487751883C4 ...V..F.P...u...
2E0: 020BC075B409BA09 01CD21CD20373430 ...u......!. 740
2F0: 2056697275732037 3430206279746573 Virus 740 bytes
300: 202124 !$
4.4. Вирус E-1961 (Yankee Doodle-2 є Янки Дудль-2)
В настоящее время этот вирус можно считать "вымершим" и информация
о нем представляет лишь исторический интерес. Вирус является
первым болгарским вирусом в котором использован стандартный метод
заражения EXE-файлов, при реализации которого, впрочем, был допущен
ряд ошибок и неточностей. При заражении длина файла увеличивается
на 1961 байт. Вирус не является резидентным. При запуске зараженной
программы вирус ищет жертву в текущем каталоге и если попытка
заражения удалась, то играет мелодию Янки Дудль.
Исторические замечания. Исходный текст вируса распространялся на
вирусной дискете В.Бончева. Известен автор вируса. В СССР отмечены
лишь отдельные случаи заражения.
Методы и средства защиты. См. прил.1.
4.5. Вирус C-1024 (Bebe є Бебе)
Неформальное название данного вируса связано с выдаваемым вирусом
на экран сообщением. Идея, лежащая в основе данного вируса,
является модификацией использованной в одном из самых старых вирусов
є Cookie (см. ниже).
Формально С-1004 представляет собой простой файловый нерезидентный
вирус, заражающий файлы, имеющие расширение COM в текущем каталоге.
СОММАND.COM заражается как обычный СОМ-файл.
COM-файлы заражаются однократно. При заражении длина файла не
проверяется. Свое тело вирус дописывает в конец файла с выравниванием
начала на границу параграфа. В зараженных файлах изменены
первые 14 байтов, причем измененные байты содержат группу (PUSH
AX; Є ; JMP FAR Virus_Start;) команд, а не единственную команду
JMP, как это бывает обычно. Поэтому зараженная программа всегда
начинается с строки "50 0E 8C C8 2E 01 06 0C 01 EA". Выше было отмечено,
что первую команду JMP, подставляемую большинством файловых
вирусов, дописывающих свое тело в конец COM-файла, можно рассматривать
как вырожденный сегмент. В данном случае первые 14 байт
представляют собой настоящий сегмент тела вируса и фактически мы
имеем дело с файловым вирусом, состоящим из двух сегментов.
Длина вируса 1004 (3ECh) байта совпадает с минимальным приращением
заражаемых файлов. Файлы с атрибутом READ ONLY не заражаются.
Вирус имеет несколько необычную реализацию фазы проявления, создающую
иллюзию, что мы имеем дело с резидентным вирусом: при запуске
первой зараженной программы он копирует часть своего тела в область
векторов прерываний по адресу 0000:01CE и устанавливает на
нее прерывание 1Ch (таймер). Тем самым создается резидентная программа,
"висящая" на таймере, которая через некоторое время выдает
на экран заставку
+-------- VIRUS ! ------+
| Skagi "bebe" " |
+-----------------------+
и переходит в состояние ожидания ввода с клавиатуры. При
разработке вируса предполагалось, что, если с клавиатуры вводится
слово "bebe", то на экране появляется сообщение "Fig Tebe !". Последнее
дает определенное представление об уровне культуры автора,
даже если рассматривать это как своего рода юмор. Однако реально
программа зацикливается из-за ошибки. В результате после выдачи
сообщения компьютер зависает и его приходится перегружать, причем
сделать это удается только клавишей RESET.
Уровень программирования, в целом, невысок. В частности, вирус
не восстанавливает DTA, что может привести к зависанию компьютера.
Аналогично, затирание части таблицы векторов прерываний может приводить
к зависанию или нарушению функционирования программ. Помимо
приведенных выше строк, образующих заставку и ответ, тело вируса
содержит строку "*.COM".
Исторические замечания. Очередной вирус отечественной разработки.
Обнаружен летом 1990 г.
Неформальные названия. Полидетектор SCAN данный вирус не детектирует.
Программные средства защиты. Полифаг Aidstest версий, начиная с
44. Детектирование можно выполнять по сигнатуре, приведенной в
прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-1004
000: 500E8CC82E01060C 01EA580011002400 P.........X...$.
060: 9000000000000000
начало тела вируса -" 582EA3CC01581E06 M.......X....X..
070: 5053515256579C8C C88ED88EC08D360E PSQRVW........6.
080: 0006C43ECA01B90E 00F3A40706B42FCD ..."........../.
090: 212E891E2400062E 8F06260007B41A8D !...$.....&.....
0A0: 162800CD21B44E8D 161E00B93F00CD21 .(..!.N.....?..!
0B0: 7303E9D0008D1628 0083C21EB8023DCD s......(......=.
0C0: 21A31C007303E9AF 00B43F8D160E00B9 !...s.....?.....
0D0: 0E008B1E1C00CD21 7303E993008D360E .......!s.....6.
0E0: 008D3E0000B90A00 FCF3A67503E98000 .."........u....
0F0: 8D1E28008B5F1A8A C381C30001B104D3 ..(.._..........
100: EB240F3C00740143 891E0C00C7060A00 .$.".t.C........
110: 5800B8004233C933 D28B1E1C00CD21B4 X...B3.3......!.
120: 408D160000B90E00 8B1E1C00CD218D1E @............!..
130: 28008B571A33C9B8 00428B1E1C00CD21 (..W.3...B.....!
1B0: 018BFE8D0EEC032B CEFCF3A433DB8EDB .......+....3...
1C0: BB70008D06F002FA 8907C747020000FB .p.........G....
1D0: 9D5F5E5A595B5807 1FEA0001DD21C9CD ._^ZY[X......!..
1E0: CDCDCDCDCD205649 5255532120CDCDCD ..... VIRUS! ...
1F0: CDCDCDBBBA20536B 6167692022626562 ..... Skagi "beb
200: 6522203E20202020 20BAC8CDCDCDCDCD e" " .......
210: CDCDCDCDCDCDCDCD CDCDCDCDCDCDCDBC ................
220: BA20202020204669 6720546562652021 . Fig Tebe !
230: 2020202020BA0000 0000000000000000 ...........
240: 0000000000000000 0000000000000000 ................
*** последующие строки идентичны предыдущей ***
2B0: 0000000000000000 0000301230121C42 ..........0.0..B
2C0: 4542450D50B8C800 E6428AC4E642E461 EBE.P....B...B.a
2D0: 0C03E661E80800E4 6124FCE66158C3B9 ...a....a$..aX..
2E0: 74272E8A052E3A05 7500E2F9C3E4608A t'....:.u.....`.
3D0: 518D362602BF7406 F3A559BF1407F3A5 Q.6&..t...Y.....
3E0: 59BFB407F3A55F5E 5A595B58071F2EA3 Y....._^ZY[X....
3F0: EA0358EA00000000 302A0000 ..X.....0*..
4.6. Вирус C-257
(Kemerovo-Reset є Кемеровская перезагрузка)
Неформальное название связано с тем, что, подобно вирусу С-648,
данный вирус, наряду с заражением файлов, вызывает перезагрузку
операционной системы.
Формально С-257 є это файловый нерезидентный вирус, заражающий
файлы с расширением COM в текущем оглавлении. Заражает командный
процессор.
Заражает COM-файлы текущего оглавления длиной до 64767 (FCFFh)
байтов при запуске инфицированной программы. Файлы заражаются
однократно. Копирует себя в конец файла и изменяет его первые 4
байта ( XCHG AX,DX; JMP Loc_Virus ). Длина файлов при заражении
увеличивается на 257 байт.
Вирус имеет ряд проявлений. Во-первых, в зараженных программах
портится дата создания файла. Во-вторых, при некоторых значениях
текущего времени запуск зараженной программы ведет к перезагрузке
компьютера. Вирус не блокирует сообщения о защите от записи.
Зараженные программы теряют способность обрабатывать параметры.
Код вируса достаточно примитивен и содержит много ошибок и
неточностей. В частности, вирус не закрывает открываемые файлы (по
одному на заражаемую программу). При этом открыть их может очень
много (в зависимости от количества файлов в текущем каталоге). При
просмотре дампа зараженной программы видна текстовая строка
"*.COM".
Исторические замечания. Происхождение неизвестно. Обнаружен летом
1990 г.
Неформальные названия. Полидетектор SCAN данный вирус не детектирует.
Программные средства защиты. Полифаг Aidstest версий, начиная с
44. Находятся в стадии разработки. Детектирование можно выполнять
по сигнатуре, приведенной в прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-257
000: 92E81500D8A10800 8B1E0A00891E0800 ................
010: A30A00B8004CCD21 125BE800005A5289 .....L.!.[...ZR.
020: D681C6C10089D82D 040089C7B90400A4 .......-........
0C0: B80242CD2172D15A 5283EA04B90001B4 ..B.!r.ZR.......
0D0: 40CD21CC139090E9 3B1092E81500B840 @.!.....;......@
0E0: 008E2A2E434F4D00 B43ECD21B42CCD21 ..*.COM..".!.,.!
0F0: 80FA0A7DE2909090 90909090909090EA ...}............
100: 0000FFFF00000000 0000000000000000 ................
110: 0000000000000000 00 .........
5. РЕЗИДЕНТНЫЕ ФАЙЛОВЫЕ ВИРУСЫ,
ОБНАРУЖЕННЫЕ В СССР
5.1. Группа "Буквопад"
Данная группа берет начало с вируса RС-1701 и в настоящее время
включает ряд вирусов с длиной порядка 1700 байтов, имеющих характерный
визуальный эффект "опадания" букв на экране. Большинство
штаммов однократно заражает файлы типа COM, однако автор встречал
упоминания о штаммах, многократно заражающих файлы.
5.1.1. Вирус RС-1701 (Cascade — Буквопад)
Данный вирус, по-видимому, является родоначальником группы. Его
название связано с тем, что в зараженной им системе при определенных
условиях начинается "падение" букв с верхних строк экрана
вниз, сопровождаемое негромким звуком, напоминающим шорох, и блокировкой
клавиатуры. Длина вируса 1701 (6А5h). Формально вирус RС1701
— файловый резидентный вирус, поражающий файлы типа СОМ. Функционирует
на версиях MS DOS, начиная с 2.0 (в теле вируса имеется
проверка). Распространяется как на PC/XT, так и на PC/AT. Стратегия
заражения — при запуске файлов на выполнение. Файлы заражаются
однократно. Максимальная длина заражаемого файла составляет 63803
(F93Bh) байта.
Подобно вирусу С-648, при заражении RС-1701 дописывается в конец
программы и одновременно вставляет в первые три байта COM-файла
команду перехода на тело вируса. При этом размер файла увеличивается
на 1701 байт, дата создания файла и атрибуты файла не меняются.
Так же, как и вирус С-648, вирус RC-1701 не проверяет, находится
ли заражаемая программа (которая загружается на выполнение)
на защищенной дискете или нет, и пытается выполнить запись на защищенную
от записи дискету. При этом операционная система выдает
сообщение:
Write protect error writing device "лог.имя.устр."
Abort, Retry, Ignore, Fail?
Этот эффект можно использовать для обнаружения данного и некоторых
других резидентных вирусов, поскольку на зараженной ими машине
попытка загрузить программу с защищенной дискеты всегда приводит к
выдаче указанного выше сообщения. В то же время, как уже указывалось,
это сообщение часто воспринимается неопытными пользователями
не как предупреждение о попытке выполнить какие-то несанкционированные
действия, а как просьба снять защитную наклейку.
Механизм функционирования данного вируса существенно отличается
от С-648. В частности, для того, чтобы различать зараженные и
незараженные файлы используетсял не время создания, а первые три
байта файла. Кроме того, вирус по BIOS определяет фирму-изготовитель
для того, чтобы в случае, если таковой является IBM, сразу
передать управление зараженной программе, не проявляя никаких признаков
активности (латентная фаза). Возможно, разработчик опасался
санкций со стороны такой могущественной фирмы, как IBM. Однако при
программировании указанной проверки допущена ошибка, и вирус заражает
и ПЭВМ фирмы IBM.
При запуске зараженной программы RС-1701 сначала проверяет, имеется
ли уже резидентная копия данного вируса с помощью подфункции
FF прерывания 21-4B (не используемой в версиях MS DOS 3.3 и ниже).
Если нет, вирус инсталлируется в младших адресах свободной
оперативной памяти, перехватывая прерывания 1Ch, 21h и 28h. В результате,
при запуске любой программы вирус получает управление,
проверяет, является ли запускаемая программа зараженной, и если
нет, то заражает данную программу на диске. В процессе заражения
файла вирус создает в памяти свою копию, кодирует ее и дописывает
в конец заражаемого файла. Затем у файла изменяются первые 3 байта
(организуется переход на начало тела вируса).
При выполнении зараженной программы управление командой JMP
(Е9h) передается на начало вируса. Первыми командами вирус узнает
длину исходного файла и раскодирует свое тело. Затем вирус восстанавливает
измененные им при заражении файла первые три байта программы,
проверяет, заражен компьютер или нет, и если не заражен,
то посредством манипуляций с MCB, PSP и 2 раза копируя себя, остается
резидентным в памяти. Чтобы по окончании работы программы-вирусоносителя
резидентная часть вируса не была удалена из памяти,
данный вирус выполняет достаточно тонкую операцию, заключающуюся в
сдвиге загруженной программы в область старших адресов, записи себя
на освободившееся место и соответствующей корректировки системных
блоков.
Демонстрационный эффект привязан к часам, причем условие запуска
выбрано так, что он проявляется в основном на машинах типа XT, при
установленной дате. На AT визуальный эффект в обычных условиях не
наблюдается, хотя вирус успешно размножается. По некоторым данным,
он возникает при установке даты на третий квартал 1988 г. В указанных
случаях, если загружается файл COMMAND.COM и он отмечен как
зараженный, то вирус демаскируется, демонстрируя свое присутствие
с помощью эффекта "падающих букв" на экране монитора. Сеансы опадания
букв происходят через определенные интервалы времени. В процессе
падения букв клавиатура блокируется и работать с компьютером
становится невозможно до полного опадания букв на экране. При этом
падение каждой буквы сопровождается характерным звуком, напоминающим
шорох. На неспециалистов эта "шутка" часто производит впечатление
аппаратной неисправности.
Никаких других несанкционированных действий вирус не выполняет,
поэтому в целом его деятельность можно было бы охарактеризовать
как мелкое хулиганство, если бы не одно обстоятельство. При заражении
некоторых системных программ, используемых преимущественно в
AUTOEXEC.BAT, он может вызывать блокировку загрузки MS DOS. Эта
блокировка, в частности, возникает на ПЭВМ ЕС-1840 при заражении
обычно включаемой в AUTOEXEC.BAT программы E1840.COM (EDISK.COM),
обеспечивающей разделение одного физического диска на два логических,
по 360К каждый (А и С на одном дисководе, B и D на другом).
Этот эффект не был предусмотрен разработчиком вируса, что, впрочем,
не освобождает его от ответственности. Вместе с тем, ситуация
с ЕС-1840 может служить наглядной иллюстрацией того факта, что при
заражении системных программ любой вирус может создавать опасные
побочные эффекты. Поэтому любые компьютерные вирусы следует немедленно
удалять, как только они появились, даже если путем анализа
или из надежных источников установлено, что никаких разрушительных
действий они не выполняют.
Резидентная часть вируса легко обнаруживается путем просмотра
списка резидентных программ (с помощью утилит MAP, SMAP, MMAP и
т.д.). Как видно из приводимой ниже карты памяти, в списке загруженных
программ появляется дополнительная строка, описывающая безымянную
программу, не имеющую имени родителя.
Вирус RC-1701 является одним из первых вирусов, в которых предприняты
определенные усилия, направленные на усложнение процесса
его дизассемблирования. В частности, основная часть тела вируса
шифруется с помощью операции "исключающее ИЛИ". Поэтому непосредственное
дизассемблирование зараженной программы пакетным дизассемблером
полной информации о струк
...Закладка в соц.сетях
