Жанр: Учеба
Компьютерная вирусология ч. 1
...туре вируса не дает. Ключ шифровки
зависит от длины файла, поэтому два зараженных файла разной
длины не имеют общих подстрок, за исключением начала инсталлятора.
По той же причине текстовых строк тело вируса не содержит.
Исторические замечания. Данный вирус появился в Западной Европе
в первой половине 1988 г. (см., например, статью [50]). Об этом
также свидетельствуют даты создания версий программы SERUM. Вирус
также распространялся на вирусной дискете В.Бончева в файле
V1700.COM, датированном 16 января 1989 г.
В СССР впервые был выделен в конце 1988 г. в Институте прикладной
математики имени М.В.Келдыша АН СССР. B Киеве появился в начале
1989 г. Одним из первых этот вирус исследовал Е.Ю.Портной, который
самостоятельно разработал фаг для этого вируса, работающий
как постпроцессор протокола детектора Ладыгина. Средства защиты
появились примерно одновременно с вирусом, поэтому существенного
вреда вирус не нанес.
В Киеве первым фагом для данного вируса была австрийская программа
SERUM3, которая может также работать и в режиме детектора.
Среди отечественных программ, использовавшихся на начальной стадии
борьбы с вирусом, следует отметить детектор Ладыгина (ИПМ АН СССР)
VIRUS_D1.
Неформальные названия. Данный вирус имеет порядка десятка неформальных
названий. Среди них отметим следующие: Falling Letters
(Падающие буквы), LetterFall (Буквопад), Rash (Сыпучка), вирус
падающих букв, 1701, Letters (буквы — О.Котик), "Слезы капали".
SCAN называет данный вирус "1701/1704 Virus — Version B [170X]".
Программные средства защиты. Общие средства защиты достаточно
эффективны против данного вируса. В частности, попытки записи вируса
в запускаемый СОМ-файл детектируются всеми имеющимися фильтрами.
Фильтр ANTI4US2 не срабатывает на попытку вируса стать резидентным,
поскольку вирус предварительно перехватывает прерывание
21. При использовании системы управления доступом к винчестеру
(Disk Manager, Advanced Disk Manager и т.д.) вирус не в состоянии
попасть в разделы винчестера, для которых установлен статус READ
ONLY. Однако при этом становится невозможным вызов программ с защищенной
дискеты или раздела винчестера.
Специальные средства защиты от данного вируса принципиально могут
включать детектор, фаг для резидентной части, резидентный и
пакетный фаги для зараженных файлов, активную и пассивную вакцину.
Детектор может быть создан только на основе поиска начальных 16
байтов вируса, поскольку остальная часть вируса шифруется и развертывается
уже в процессе выполнения.
В настоящее время все сопровождаемые полидетекторы и полифаги
обрабатывают программы, зараженные данным вирусом. Автор рекомендует
компактную и удобную программу AIDSTEST Д.Н.Лозинского.
Фрагмент дампа программы MORE.COM,
зараженной вирусом RC-1701
000: E90E009090909090 9090909090909090 ................
+------------------------ J-сигнатура
| (программа раскодировки)
|
010:|01FA8BECE800005B 81EB31012EF6872A .......[..1....*
020: 0101740F8DB74D01 BC82063134312446 ..t...M....141$F
030: 4C75F8
+--------------- закодированная часть
| тела вируса
|
3A575901DE 4243CC634242DEDE Lu.:WY..BC.cBB..
040: A23236062FCF3672 24DF3EBC2CDF362E .26./.6r$.".,.6.
050: 3212361732290FB7 43289D1602020EE7 2.6.2)..C(......
060: 8233363632322E26 2222262602237126 .36622.&""&&.#q&
070: 6D3A36363332DF2B 3F13464676507A5D m:6632.+?.FFvPz]
080: C86338529B9A46AE A2F9274D01A38022 .c8R..F...'M..."
Пример карты памяти зараженного компьютера. В приводимой ниже
карте памяти резидентная часть вируса занимает последнюю строку
(1E1E) таблицы резидентных программ. Ее длина, указанная в графе
"bytes", не соответствует действительной. Перехватываемые прерывания
также не указаны.
Addr Program Parent Sg Bytes Hooked Vectors
------ -------- -------- — ------ ------------------
(1A66) DOS N/A 3 5504
(1B4E) E1840 DOS 2 1280
(1BA0) QUICK DOS 2 512
(1BC2) KBMNA DOS 2 480 16
(1BE2) DOSEDIT DOS 2 2032
(1C62) BDS1 DOS 2 7056 00 08 09 13 1A
(1E1E) N/A N/A 1 64
5.1.2. Вирус RС-1704 (Cascade-B — Буквопад-Б)
Данный штамм отличается от исходного исправленной ошибкой, связанной
с проверкой фирмы — изготовителя BIOS. Других особенностей,
по-видимому, не имеет. Детектируется полидетектором SCAN. Длина
штамма 1704 (6A8h) байтов.
5.2. Иерусалимская группа
Иерусалимская группа получила свое название с связи с тем, что
один из представителей этой группы был обнаружен в конце 1987 г.
студентом Иерусалимского университета. Вирус существует в нескольких
разновидностях (штаммах), отличающихся по своим размерам, действиям
и типам заражаемых файлов. Из них наиболее распространенным
является версия, которая в пятницу, приходящуюся на 13 число, удаляет
все запускаемые файлы. Другими словами, если в этот день
файл, содержащий исполняемую программу, запускается на выполнение
на зараженной машине, вирус удаляет его с диска и при попытке повторного
выполнения этой программы MS DOS сообщит, что соответствующий
файл не найден. Большинство представителей этой группы заражают
COM-файлы, размещая свое тело в начале, а не в конце, как
большинство других групп вирусов.
5.2.1 Вирус RCE-1813 (Ierusalem — Иерусалим,
Black Friday — Черная пятница)
Вирус RСЕ-1813 получил название Black Friday — Черная пятница,
поскольку, если 13 число месяца приходится на пятницу, то он удаляет
все запускаемые файлы. Впервые обнаружен в Израиле, поэтому
другим распространенным названием вируса является Israeli Virus --
Израильский вирус. Формально вирус RСЕ-1813 является резидентным
файловым вирусом, поражающим как СОМ-, так и ЕХЕ-файлы.
Работоспособен на версиях, начиная с 2.0, как на PC XT, так и на
PC AT.
При выполнении зараженной программы вирус вначале проверяет наличие
своей копии в памяти компьютера. Если она есть, то управление
передается зараженной программе. Если ее нет, то вирус инсталлируется,
выполняя следующие действия: 1) запоминает в своем теле
значения байтов памяти с адресами 003FCh-003FEh; 2) размещает по
указанным адресам программу копирования и передает ей управление;
3) программа копирования перемещает тело вируса в самые младшие
адреса, выделенные для основной программы (при этом вирус в COMпрограмме
копируется сам в себя, а в EXE-программе стирает часть
кода основной программы), и возвращает управление в копию вируса;
4) восстанавливает старое содержимое байтов памяти с адресами
003FCh-003FEh; 5) определяет имя основной программы и функцией
EXEC (21-4Bh) запускает ее на выполнение (т.е. в памяти компьютера
в этот момент находятся 2 копии основной программы); 6) по окончании
работы программы вирус освобождает лишнюю память и остается
резидентным в памяти (с помощью прерывания 21-31h). Использование
для постановки в резидент прерывания 21-31h означает, что вирус
виден по карте памяти (см. ниже). Из нее видно, что после загрузки
в память вирус перехватывает прерывания 08 и 21. После того, как
вирус RСЕ-1813 стал резидентным, он пытается заразить каждый запускаемый
файл, за исключением файлов с именем COMMAND.COM.
Файлы типа СОМ поражаются данным вирусом однократно, при этом
дата их создания не меняется, а длина увеличивается на 1813 байтов.
В инфицированной программе тело вируса размещается в начале
файла, поскольку при заражении COM-файла вирус выделяет область
памяти (с помощью int 21h, ah=48h), в которую копирует сначала
свое тело, а затем зараженный файл. Полученный образ зараженного
файла записывается на диск с добавление 5-байтового поля (обычно
это поле содержит "MsDos", однако имеются штаммы с другим содержанием),
используемого вирусом в качестве признака зараженности COMфайлов.
Ограничений на длину файлов нет, поэтому вирус уничтожает
COM-файлы, длина которых после заражения превысит 64K. Вирус не
заражает COMMAND.COM, определяя его по имени файла.
ЕХЕ-файлы (включая оверлейные) поражаются многократно, порой
разрастаясь до невероятных размеров, достигающих предельно допустимого
для данной машины размера (например, Norton Commander может
достичь размера в несколько сот килобайт). Дата создания не
изменяется, а длина при каждом заражении увеличивается на 1808 --
1823 байта. Тело вируса размещается обычно в конце файла, однако в
случае, если поражаемый EXE-файл имеет неверную длину в заголовке
(это имеет место, например, в ряде программ, использующих часть
своего файла в качестве буфера на диске для хранения промежуточных
данных), то вирус размещается в середине. Такой эффект наблюдается
для FOXBASE, QC и ряда других больших программ, использующих часть
своего дискового файла в качестве буфера или неявного оверлея. При
изменении заголовка файла вирус записывает в поле контрольной
суммы значение 1984h.
Фаза проявления наступает через некоторое время после того, как
вирус стал резидентным (это время зависит от тактовой частоты ЭВМ
и для обычных РС/ХТ с тактовой частотой 4.77 Мгц составляет порядка
40 мин.) и зависит от даты и дня недели. В "обычный" день, не
приходящийся на пятницу, совпадающую с 13 числом, проявление данного
вируса состоит в замедлении работы ЭВМ. При этом выдача любой
команды, например DIR, приводит к медленному "выползанию" строк на
экран. Этот эффект основан на том, что вирус перехватывает прерывание
от таймера (8h) и при каждом прерывании 8h выполняет цикл из
нескольких тысяч команд. Обычно через некоторое время после начала
стадии проявления действия вируса приводят к зависанию MS DOS с
сообщением "Stack overflow". Вторым визуальным эффектом является
вырывание кусков изображения с появлением на экране черного окна в
левом нижнем углу экрана (вирус выполняет скроллинг части экрана).
Если текущий день недели — пятница, а текущее число — 13, то стадия
проявления меняется: в такие дни вирус не заражает собой все
запускаемые файлы, а просто удаляет их с диска. Таким образом, при
попытке запустить программу на выполнение, MS DOS выдает сообщение
о том, что файл не найден. В результате будут уничтожены все файлы,
которые пользователь пытается запускать, пытаясь выяснить, что
происходит с компьютером. Поэтому непреложным правилом поведения
пользователей должно стать следующее: при возникновении каких-то
аномалий необходимо перегрузиться с защищенной дискеты и уже после
этого пытаться анализировать, что произошло с компьютером. Как уже
отмечалось, из-за ошибки в тексте вируса при заражении как COM-,
так и EXE-файлов, имеющих размер, дающий при увеличении на 1808 --
1821 байтов величину, превосходящую 64К, 128К и т.д., заражаемая
программа необратимо портится, перезаписываясь в начале.
Исторические замечания. Вирус RСЕ-1813 появился в Израиле в начале
1988 г. В СССР обнаружен в ноябре 1988 г. в одном из московских
кооперативов. Первый детектор был, по-видимому, разработан в
Институте программных систем (Переславль-Залесский), однако эта
программа до Киева не дошла. По результатам анкеты, проведенной
автором на апрельском семинаре, этот вирус был обнаружен в 10 организациях
из 50 участников семинара, принявших участие в анкетировании.
Поскольку создание средств защиты несколько запоздало (в
Киеве эпидемия началась приблизительно в апреле, а средства защиты
появились примерно в июне), вирус распространился довольно широко
и нанес определенный ущерб: десятки, если не сотни тысяч часов были
потеряны на восстановление и перезапись зараженных программ.
Первыми использовавшимися в киевской практике детекторами для
этого вируса были DOCTOR А.А.Чижова и ANTIDOS киевской разработки.
Первые фаги, использовавшиеся в Киеве для борьбы с этим вирусом,
были разработаны А.А.Чижовым (DOCTOR1) и Л.И.Обуховым (FAG1813 --
август 1989 г.). Программа FAG1813, распространявшаяся как
SHAREWARE по цене 1 рубль за копию (см.СП 1-1), работала устойчиво,
однако не могла рекурсивно обрабатывать подкаталоги (впрочем,
программа очень мала (1808 байтов)). Для рекурсивной обработки
подкаталогов использовалась с RUNTREE. Кроме того, Л.И.Обуховым
была разработана резидентная вакцина VAC1813R, а позднее VAC1813Q.
Вакцина содержит обработчик неиспользуемого в MS DOS прерывания
Е0, используемого вирусом для определения, имеется ли в оперативной
памяти копия вируса или нет. Если этот обработчик возвращает
значение 3, то вирус считает, что он уже является резидентным и
загрузку собственной копии в список резидентных программ не выполняет.
Данная вакцина является первым отечественным продуктом такого
типа и позволяет, в частности, работать на зараженной машине
без дезактивации всех зараженных файлов. Версия VAC1813Q выдает
предупреждающее сообщение всякий раз, когда делается попытка запустить
зараженную программу. Таким образом, она является одновременно
резидентным детектором для данного типа вируса. Позднее
В.В.Пономаренко была разработана поливакцина NEATVAC (СП 2-7).
Зарубежные программы появились в СССР несколько позднее. Первой
из них была программа FAG_SU, разработанная Joe Ratcatcher & Anre
Molnar.
Неформальные названия. Данный вирус имеет более десятка неформальных
названий. Среди них: Hebrew University, PLO (ООП), Black
Hole (Черная дыра), Вирус замедления, Time (Время — О.Котик). Полидетектор
SCAN называет данный вирус "Jerusalem Virus Version B
[Jeru]".
Методы и программные средства защиты. В настоящее время все полифаги
и полидетекторы распознают этот вид вируса. Однако почти
все из указанных программ не обрабатывают случай, когда вирус находится
в середине файла. Поэтому результаты их работы необходимо
контролировать с помощью контекстного поиска по всему диску. В последних
версиях полифага DOCTOR введен новый ключ, задающий расширенную
обработку файлов. В этом случае проводится полный просмотр
файлов. Поскольку для каждого зараженного СОМ-файла вирус в конце
дописывает признак зараженности, который состоит из 5 байтов, содержащих
слово MsDos, можно реализовать пассивное вакцинирование
СОМ-файлов от этого типа вирусов. Для этой цели применима, например,
команда COPY, если заготовить слово MsDos в отдельном файле,
а затем конкатенировать COM-файлы с этим файлом.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1813
+---------------- команда обхода области данных
| (дрозофила перемещена в конец файла - см. ниже)
+-----+
0000:|E9920073554D7344 6F7300018F250000 ...sUMsDos...%..
0010: 001000D800AD0F5C 06FD1856059D1007 .......\...V....
0020: 7E00000000000000 0000000000000000 ~...............
0030: 000E258000000080 000E255C000E256C ..%.......%\..%l
0040: 000E250004FABA29 0053A1000000004D ..%....).S.....M
0050: 5A8000C300730160 00EA0AFFFF771710 Z....s.`.....w..
0060: 078419C50077171E 0000009090909090 .....w..........
0070: 0500200021001B01 00021000707D0100 .. .!.......p}..
0080: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
0090: 0000000000
+--------- J-сигнатура
|
0095 |FCB4E0 CD2180FCE0731680 .........!...s..
00A0: FC037211B4DDBF00 01BE100703F72E8B ..r.............
00B0: 8D1100CD218CC805 10008ED0BC000750 ....!..........P
00C0: B8C50050CBFC062E 8C0631002E8C0639 ...P......1....9
00D0: 002E8C063D002E8C 0641008CC0051000 ....=....A......
00E0: 2E010649002E0106 4500B4E0CD2180FC ...I....E....!..
05E0: 1B00B82425CD2107 1F5F5E5A595B589D ...$%.!.._^ZY[X.
05F0: 2EFF2E1700000000 0000000000000000 ................
0600: 4D9D100010383133 522E434F4D000122 M....813R.COM.."
0610: E9920073554D7344 6F7300018F250000 ...sUMsDos...%..
0620: 001000D800AD0F5C 06FD1856059D1007 .......\...V....
0630: 7E00000000000000 0000000000000000 ~...............
0640: 000E258000000080 000E255C000E256C ..%.......%\..%l
0650: 000E250004FABA29 0053A1000000004D ..%....).S.....M
0660: 5A8000C300730160 00EA0AFFFF771710 Z....s.`.....w..
0670: 078419C50077171E 0000009090909090 .....w..........
0680: 0500200021001B01 00021000707D0100 .. .!.......p}..
0690: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
06A0: 0000000000FCB4E0 CD2180FCE0731680 .........!...s..
+------------------------ тело дрозофилы
|
0710:|9090909090909090 9090909090909090 ................
0720:|4D73446F73 MsDos
+----------+
+---------------- признак зараженности COM-файла
Пример карты памяти зараженного компьютера. В приводимой ниже
карте памяти резидентная часть вируса занимает последнюю строку
(1CD0) таблицы резидентных программ. Перехватываемые прерывания
соответствуют действительности.
Addr Program Parent Sg Bytes Hooked Vectors
------ -------- -------- — ------ -----------------
(19A6) DOS N/A 2 3536
(1A8E) E1840 DOS 2 1280
(1AE0) RELEASE DOS 2 3552 27
(1BC0) GRAPHICS DOS 2 1088 05
(1C06) QUICK DOS 2 544 09
(1C2A) KBMNA DOS 2 512 16
(1C4C) DOSEDIT DOS 2 2064
(1CD0) N/A DOS 1 1824 08 21
5.2.2. Вирус RCE-1636 (Sunday — Воскресенье)
Данный штамм получил название Sunday — воскресенье, поскольку в
этот день недели вирус удаляет все запускаемые файлы. Формально
вирус RСЕ-1636 является резидентным файловым вирусом, поражающим
как СОМ-файлы, так и ЕХЕ-файлы. Вирус не проверяет версию MS DOS,
на которой функционирует. Работоспособен на версиях, начиная с 2.0
как на PC XT, так и на PC AT.
При выполнении зараженной программы вирус вначале проверяет наличие
своей копии в памяти компьютера, аналогично тому, как это
делает вирус RCE-1813. Затем вирус инсталлируется и перехватывает
прерывания 21 и 8. Механизм размножения вируса стандартен — перехват
прерывания 21-4B и заражение каждой подходящей запускаемой на
выполнение программы, за исключением файла с именем COMMAND.COM.
Ограничений на длину файлов нет, поэтому вирус уничтожает COM-файлы,
длина которых после заражения превысит 64K. Вирус не заражает
файлы с именем COMMAND.COM.
Файлы типа СОМ поражаются данным вирусом однократно, при этом
дата их создания не меняется, а длина увеличивается на 1636 байтов.
В инфицированной программе тело вируса размещается в начале
файла. Со смещением 184h от начала зараженного файла расположена
текстовая строка COMMAND.COM, а со смещением 351h — текст сообщения,
выдаваемого вирусом на экран:
Today is SunDay! Why do you work so hard?
All work and no play make you a dull boy!
Come on ! Let's go out and have some fun!$
(Сегодня воскресенье! Зачем работать так напряженно ?
Постоянная работа без игр делает Вас занудой !
Пошли ! Давай выйдем из дому и развлечемся !)
В конец зараженного СОМ-файла записывается пятибайтовое поле
(обычно это поле содержит C8h, F7h, E1h, EEh, E7h, однако возможны
штаммы с другим содержанием). Указанное поле используется вирусом
в качестве признака зараженности COM-файлов.
EXE-файлы заражаются однократно. Контроль зараженности по тому
же пятибайтовому полю. При заражении EXE-файлов вирус дописывает
свое тело в конец программы и исправляет заголовок EXE-файла, запоминая
некоторые поля. Как и RCE-1813, вирус записывает, вместо
контрольной суммы, число "1984". При этом оригинальное значение
контрольной суммы теряется. В конец зараженного файла дописываются
упомянутые выше 5 байт.
Как уже указывалось, данный вирус имеет стадию проявления, наступающую
в воскресенье. В этот день вирус не заражает собой все
запускаемые файлы, а, как и RCE-1813, удаляет их с диска. Перехватывая
прерывание от таймера (INT 8), вирус отсчитывает один час от
начала режима удаления запускаемых файлов и выводит приведенное
выше сообщение. Вирус имеет несколько штаммов, в одном из которых
в этом месте допущена ошибка и данная ветвь кода никогда не выполняется.
Аналогично вирусу RCE-1813, возможна запись вируса в середину
"расширенных" EXE-файлов.
Исторические замечания. Вирус RСЕ-1636 появился в конце 1988 --
начале 1989 г. в США. В СССР обнаружен к марте 1990 в Ленинграде и
Киеве, а чуть позднее в Москве. Первым отечественным полифагом для
данного вируса был, по-видимому, AIDSTEST (версии, начиная с апреля
1990), обнаруживают и уничтожают этот штамм. Анализ кода позволяет
предположить, что автор использовал в качестве основы для его
написания вирус RCE-1813.
Неформальные названия. Полидетектор SCAN называет данный штамм
"Sunday Virus [Sunday]".
Методы и программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1636
000: E992000131C8F7E1 EEE70001F51E0000 ....1...........
010: 002200AA00DF0F60 02FD125605C61090 .".....`...V....
020: 7E00000000000000 0000000000004506 ~.............E.
030: 10E02B8000000080 00E02B5C00E02B6C ..+.......+\..+l
040: 00E01B80006C3E12 00D33900F006004D .....l"...9....M
050: 5AC4017500000020 003906FFFF160E5D Z..u... .9.....]
060: 068419C400160E1E 000000909090CD20 ...............
070: 050020008814A579 0002100060E30000 .. ....y....`...
080: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
090: 0000000000
+------ начало инсталлятора
|
|FCB4FF CD2180FCFF731580 .........!...s..
0A0: FC047210B4DDBF00 01BE5F0603F72E8B ..r......._.....
0B0: 4D11CD218CC80510 008ED0BC5D0650B8 M..!........].P.
0C0: C40050CBFC062E8C 0631002E8C063900 ..P......1....9.
0D0: 2E8C063D002E8C06 41008CC00510002E ...=....A.......
0E0: 010649002E010645 00B4FFCD2180FC04 ..I....E....!...
0F0: 7510072E8E164500 2E8B2643002EFF2E u.....E...&C....
100: 470033C08EC0BBFC 03268B072EA34B00 G.3......&....K.
240: 1F00907E5E5B582E FF0E1F002EFF2E13 ...~^[X.........
250: 00546F6461792069 732053756E446179 .Today is SunDay
260: 212057687920646F 20796F7520776F72 ! Why do you wor
270: 6B20736F20686172 643F0A0D416C6C20 k so hard?..All
280: 20776F726B20616E 64206E6F20706C61 work and no pla
290: 79206D616B652079 6F7520612064756C y make you a dul
2A0: 6C20626F79210A0D 436F6D65206F6E20 l boy!..Come on
2B0: 21204C6574277320 676F206F75742061 ! Let's go out a
2C0: 6E64206861766520 736F6D652066756E nd have some fun
2D0: 21249C80FCFF7505 B800049DCF80FCDD !$....u.........
2E0: 740E3D004B7503EB 35909D2EFF2E1700 t.=.Ku..5.......
2F0: 5858B800012EA30A 00582EA30C00F3A4 XX.......X......
5D0: 1FC51680002E8B0E 7200B80143CD218D ........r...C.!.
5E0: 161B00B82425CD21 071F5F5E5A595B58 ....$%.!.._^ZY[X
5F0: 9D2EFF2E1700FC03 0000000000000000 ................
600: 0000000000000000 0000000000000000 ................
610: 0000000000000000 0000000000000000 ................
620: 0000000000000000 00002C0825460008 ..........,.%F..
630: 250825C60716026C 1540003CFC04000D %.%....l.@."....
640: C97E9300010702D4 00F51E55C8556CFE .~.........U.Ul.
650: B98B00803EEB54A2 4C80003E00435690 ....".T.L..".CV.
660: 9090909090909090 9090909090909090 ................
670: 9090909090909090 90909090909090CD ................
680: 20C8F7E1EEE7 ......
+--------+
+----------- признак зараженности файла
5.2.3. Воронежская подгруппа
Воронежская подгруппа включает в настоящее время три вируса: RC529,
RC-600 и RCE-1600, по-видимому, принадлежащие одному (отечественному
!) автору.
5.2.3.1. Вирус RC-529
(Peterburg — Петербург, Пакость-1)
Формально данный вирус можно отнести к резидентным файловым
вирусам, заражающим файлы с расширением COM. Не проверяет версию
операционной системы, но использует имя программы, которое заносится
в Environment версии MS DOS не ниже 3.0. При запуске
зараженной программы инсталлируется, перехватывая прерывание 21.
Заражает только COM-файлы при их выполнении. Определяет тип
программы по расширению имени, из-за чего EXE-программы, имеющие
расширение COM, после заражения теряют работоспособность.
Работоспособность таких программ восстанавливается после
применения соответствующего фага. Подобно остальным вирусам иерусалимской
группы, при заражении COM-файлов записывается в начало,
переписывая старое начало в конец файла. Уровень программирования
выдает начинающего: основная часть логики некритично заимствована
из вируса RСЕ-1813.
Исторические сведения. Впервые обнаружен в Ленинграде весной
1989 г. Автору был передан Д.Н.Лозинским. Первым фагом для данного
вируса был, по-видимому, AIDSTEST.
Неформальные названия. Помимо приведенных выше неизвестны. Полидетектором
SCAN не детектируется.
Методы и программные средства защиты. См. прил.1.
Фрагмент дампа программы DUMY1744,зараженной вирусом RC-529
000: B815CA8B361B01BF 00018B0E1D018B1E ....6...........
010: 1901CD21FF361F01 C30101D007110247 ...!.6.........G
020: 017900C0010400C4 014D001102EA00FB .y.......M......
030: 020100FC02010000 0080000E255C000E ............%\..
040: 256C000E25CA01A1 1D0105140190A305 %l..%...........
050: 0303061D01050001 A30D038BE0050F00 ................
1B0: 15B8004233D28BCA CD21720AFEC68B0E ...B3....!r.....
1C0: 1D01B440CD21B801 578B0E07038B1609 ...@.!..W.......
1D0: 03CD21B43ECD21B8 01438B0E0B038E5E ..!.".!..C.....^
1E0: 028B5600CD212EC5 160103B82425CD21 ..V..!......$%.!
1F0: 8BE55A1F5B5807C3 B003CFC3C35C06FD ..Z.[X.......\..
200: 1856059D10250336 0021002000360664 .V...%.6.!. .6.d
210: 0090909090909090 9090909090909090 ................
220: 9090909090909090 9090909090909090 ................
*** следующие строки идентичны предыдущей ***
8E0: 90 .
5.2.3.2. Вирус RC-600 (Пакость-2)
Данный штамм аналогичен штамму RC-529 и заражает только COM-файлы
...Закладка в соц.сетях
