Жанр: Учеба
Компьютерная вирусология ч. 1
....
Формально вирус RС-600 является резидентным файловым вирусом,
поражающим СОМ-файлы. Вирус не проверяет версию MS DOS, на которой
функционирует. По-видимому, работоспособен на версиях, начиная с
2.0.
При запуске зараженной программы вирус сразу пытается
инсталлироваться в оперативной памяти. Для определения, имеется ли
уже в памяти резидентный вирус, используется стандартный для данной
группы вирусов механизм: вирус выдает неиспользуемое MS DOS
прерывание 21-AB, а затем проверяет содержимое регистра AX. Это
делает возможным создание резидентной вакцины и такая вакцина
имеется (NEATVAC). Файлы заражаются при загрузке в память для выполнения
(прерывание 21-4Bh).
Заражаются файлы типа СОМ, даже если они имеют расширение ЕХЕ.
Дата и время создания зараженного файла не изменяются, а длина
увеличивается на 600 байтов. Минимальная длина заражаемых файлов
составляет 600 байтов (258h), а максимальная 60 000 байтов
(EA60h). Не заражаются файлы, содержащие в первых двух байтах значение,
превышающее EF60h, а также файлы с атрибутом READ ONLY. Вирус
не заражает COMMAND.COM. Файлы заражаются однократно, при этом
дата их создания не меняется, а длина увеличивается на 600 байтов.
В инфицированной программе тело вируса размещается в начале файла.
Перехватывает прерывание 21h.
Вирус шифрует часть своего тела (50 байтов, начиная с 16 байта
от начала). Первые 600 байт заражаемой программы (участок, переносимый
в конец файла) с также шифруются с помощью операции XOR 0BBh
и переносятся в конец файла. На их место помещается тело вируса
(тоже частично закодированное — 50 байтов, начиная с 17-го — XOR
0DDh).
Фаза проявления у данного вируса отсутствует. При попытке запуска
программы из оболочек типа NC на зараженной машине, если
COMMAND.COM находится на защищенном от записи диске, происходит
"выпадение" в DOS. При попытке заражения файлов, расположенных на
защищенной от записи дискете, иногда (не всегда) появляется стандартное
сообщение "Abort, Retry...". Это связано с ошибкой в подпрограмме
обработки прерывания 24h.
Исторические замечания. По-видимому, вирус имеет отечественное
происхождение, поскольку в теле вируса имеется зашифрованная строка
"Oleynikoz S., 1990". Вирус RСЕ-600 появился в СССР в начале
1990 г. Обнаружен А.Сессой в Днепропетровске в середине апреля
1990г. Значительного распространения вирус не получил. Из полифагов,
распространяемых бесплатно, первым был, по видимому, -V
Е.Касперского (СП 2-7).
Неформальные названия. Помимо приведенного выше иногда
используется название 600 и Oleynikoz.
Программные средства защиты. Для борьбы с вирусом годятся имеющиеся
контекстные детекторы и резидентные программы. В качестве
фага рекомендуется использовать -V Е.Касперского или Aidstest.
Фрагмент дампа дрозофилы, зараженной вирусом RC-600
(обратите внимание, что байты 90h перекодированы в BBh)
000: BE1001B932008A24 80F4DD882446E2F6 ....2..$....$F..
010: 697610FCE08888A8 DE3453DD5115F0DC iv.......4S.Q...
020: DD530566DEDDE356 DAF05DDDE354DAD3 .S.f...V..]..T..
030: C266DFDD56DAF05D DD54DA531D62DDDD .f..V..].T.S.b..
040: 63DD00B90008F3A4 8BD0EB2E90FB80FC c...............
050: AB7504B85555CF50 FEC43D004C587515 .u..UU.P..=.LXu.
060: 9C50535152565706 1EE99E001F075F5E .PSQRVW......._^
070: 5A595B589DEA1C02 BC128EDAB82135CD ZY[X.........!5.
080: 213E891E76013E8C 0678013E891E4202 !"..v."..x."..B.
090: 3E8C0644021E8CC0 8ED88BD31F8D164D "..D...........M
0A0: 01B82125CD210E1F 1E07BED401B90001 ..!%.!..........
0B0: BBEC018B3F83FF00 7502CD2057BBEE01 ....?...u.. W...
0C0: 8B0701C781C70001 FC57F3A45F588B0E .........W.._X..
0D0: EE0157C30500018B F0BF0001FC8A0434 ..W............4
0E0: BB88054647E2F6B8 000150C360025802 ...FG.....P.`.X.
0F0: 5605E00F55767F63 7473717560004934 V...Uv.ctsqu`.I4
100: 362B23232A000000 00CF8BDA1E52060E 6+##*........R..
240: 0300E927FEB8003E CD218B1EF0018E06 ...'...".!......
250: F201B82425CD21C3 3820818089928E82 ...$%.!.8 ......
260: 0290BB05AEBA9531 AF0FB9769AFD594D .......1...v..YM
270: 01BBBB769BB1B626 2935299B2F3B3230 ...v...&)5)./;20
280: 9B2A353F3E2B3D33 299B39332B282A9B .*5?"+=3).93+(*.
290: ED8D8B8B9B9B9B93 E9F89B8D8B8B929A ................
2A0: BBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBB ................
*** последующие строки идентичны предыдущей ***
4A0: 3F3033363B9B2C33 2A293538359B2F3B ?036;.,3*)585./;
4B0: 32303B9B969B8D8B 20;.....
5.2.3.3. Вирус RC-1600
(Voronezh 2.01 — Воронеж 2.01, Пакость-3)
Последний и наиболее сложный из рассматриваемой подгруппы. Неформальное
название связано с наличием в теле вируса соответствующей
текстовой строки. Формально представляет собой резидентный
файловый вирус, заражающий COM- и EXE-файлы. С сожалением приходится
констатировать, что в данном вирусе реализована идея, неосторожно
высказанная Д.Н.Лозинским в документации к полифагу
AIDSTEST (AIDSREAD.ME): с целью затруднить обнаружение обычными
фагами, вирус не меняет точку входа в EXE-файле, изменяя
Relocation table.
При заражении EXE-файлов тело вируса дописывается в конец заражаемой
программы. Файлы заражаются не только при запуске программ
на исполнение, но и при открытии файлов.
Уровень программирования создает противоречивое впечатление.
Имеется ряд признаков, позволяющих говорить о близости "почерка",
которым написаны данный вирус и вирус RC-600.
Исторические замечания. Обнаружен в Воронеже в июне 1990 г.
А.Н.Мартемьяновым. Автору передан Д.Н.Лозинским. Из полифагов,
распространяющихся бесплатно, первым его включил Е.Сусликов в полифаг
К32. Значительного распространения вирус не получил.
Неформальные названия. Помимо приведенных выше иногда
используется название 1600.
Программные средства защиты. Для борьбы с вирусом годятся имеющиеся
контекстные детекторы и резидентные программы. В качестве
фага можно рекомендовать упомянутый выше полифаг К32.
Фрагмент дампа вируса
000: 8CD80E1F50E80000 5B81EB080153B4AB ....P...[....S..
010: CD213D55557503E9 D0008CC02D01008E .!=UUu......-...
020: D8BB03003E8B072D EA003E8907061FBB ...."..-..".....
030: 02003E8B072DEA00 3E89078EC0BF0001 .."..-..".......
040: BE00015B5301DE0E 1FB9A406F3A48BD0 ...[S...........
050: EB74909CFB80FCAB 7505B855559DCF3D .t......u..UU..=
060: 003D754050535152 565706B9410030C0 .=u@PSQRVW..A.0.
070: 8BFA1E07F2AE83EF 048BF7560E07B904 ...........V....
080: 00BF8902F3A683F9 0075045EEB0D90BF .........u.^....
090: 8C02B904005EF3A6 83F900075F5E5A59 .....^......_^ZY
0A0: 5B58740950FEC43D 004C587513505351 [Xt.P..=.LXu.PSQ
0B0: 525657061EE91F01 1F075F5E5A595B58 RVW......._^ZY[X
0C0: 9DEA60142B028EDA B82135CD213E891E ..`.+....!5.!"..
0D0: C2013E8C06C4013E 891E75033E8C0677 .."...."..u."..w
0E0: 038D165301B82125 CD215ABBB00201D3 ...S..!%.!Z.....
0F0: 2E803F0074411F8C D80E1F8BCA5F0750 ..?.tA......._.P
170: FC8A0434BB880546 47E2F6B800015B50 ...4...FG.....[P
180: C3F7854006CC7DE5 1145584565786555 ...@..}..EXEexeU
190: 767F637473717560 566F726F6E657A68 v.ctsqu`Voronezh
1A0: 2C3139393020322E 3031B430CD213C00 ,1990 2.01.0.!".
1B0: 0100081A00110300 000000002A390000 ............*9..
5B0: 595B53BA4007CD21 B80042BA0000B900 Y[S.@..!..B.....
5C0: 00CD21BB1001BE83 028B0CBA0001B440 ..!............@
5D0: 5B53CD215B5A5953 B80157CD218B16D4 [S.![ZYS..W.!...
5E0: 028E1ED202B80143 2E8B0ED002CD210E .......C......!.
5F0: 1F5BE80300E9C0FA B8003ECD218B1E85 .[........".!...
600: 028E068702B82425 CD21C3558BEC1EB8 ......$%.!.U....
610: 01438B16D4028E1E D20231C9CD217306 .C........1..!s.
620: 1F5D58E945FF368B 5E04B8003ECD21B8 .]X.E.6.^...".!.
630: 023DFA9C2EFF1EC2 011F368946045DC3 .=........6.F.].
5.2.4. Другие представители иерусалимской группы.
Как уже указывалось, вирусы иерусалимской группы относятся к одним
из самых распространенных. Среди них следует отметить первоапрельскую
подгруппу, а также вирус FU MANCHU. В настоящее время эти
вирусы в СССР еще не выделены. Некоторые сведения о них приводятся
в прил. 3.
5.3. Группа TP-вирусов
Данная группа резидентных вирусов имеет болгарское происхождение.
По данным В.Бончева, они написаны техно-крысой из софийского
вуза ВМЕИ им. В.И.Ленина (теперь Технический университет). В нее
входит 12 отличающихся друг от друга, но несомненно принадлежащих
одному автору штаммов. Вирусы разработаны в конце 1988 — начале
1989 г. Впервые эти штаммы были описаны В.Бончевым ( окончившим,
кстати, ВМЕИ им. В.И.Ленина в 1984 г.), который, по его собственному
признанию, знаком с написавшей их техно-крысой. Об этом, также,
свидетельствуют и некоторые факты. Во-первых, в статье [ ]
В.Бончев утверждает, что заражение EXE-файла несколько сложнее,
чем COM- файла, но возможно, хотя на самом деле сложность заражения
COM- и EXE- файлов примерно равны. И, действительно, первые
штаммы вирусов данной группы заражают EXE-файл специальным, более
сложным способом, основанным на предварительной переделке EXE-файла
в COM- файл. Во-вторых, бросается в глаза подробность, с которой
в [14] описаны технические решения, использованные в ряде
штаммов этой группы, причем само описание ведется с характерной
скорее для разработчика, чем для исследователя, точки зрения. В
первой статье, где упомянуты вирусы данной группы [КВ.3-4'89], уже
указана такая "тонкая" подробность, как "вытеснение" старшими
штаммами группы штаммов с меньшими номерами в зараженных файлах,
хотя в самой статье упоминаются только вирусы подгруппы VACSINE,
для которых "вытеснение" имеет место лишь в оперативной памяти. В
третьих, в статье [13] указывается, что автором создан и фаг для
этой группы вирусов, а единственным известным болгарским полифагом
для данной группы является программа TP48CLS В.Бончева т.е. неисключено,
что алгоритм "выкусывания" был предоставлен В.Бончеву самим
автором этих вирусов.
По оценке большинства исследователей, вирусы написаны специалистом
высокой квалификации. Ни один из вирусов этой группы не ориентирован
на нанесение вреда данным или программам на зараженном им
компьютере. Для большинства представителей этой группы отличительным
признаком является строка F47Ah в начале тела вируса за которой
следует номер штамма. При этом, кроме версии TP-45 (Yankee
Doodle-2D), указанная строка повторяется в конце тела вируса, т.е.
в конце зараженного им файла, что позволяет быстро определить версию
заразившего тот или иной файл вируса путем просмотра дампа памяти.
Как видно из приводимых ниже дампов, байт F4h расположен со
смещением 4 от конца, а байт 7Ah — со смещением 3. Следующий за
этой парой байтов (F4h, 7Ah) байт и определяет номер штамма. Штаммы,
входящие в данную группу можно разделить на три подгруппы.
1) Подгруппа VACSINA (TP-4, TP-5 и TP-16). Это первые представители
данной группы, разработанные примерно в конце 1988 г. Все они
содержат строку "VACSINA", выполняют преобразование EXE-файлов в
COM-файлы в два этапа и не заражают файлов размером больше 64К.
2) Подгруппа музыкальной перезагрузки (ТР-24 и ТР-25). Штаммы,
входящие в данную подгруппу, играют мелодию Yankee Doodle Dendy
при перезагрузке. Ограничение на размер заражаемых EXE-файлов сохраняется.
3) Подгруппа музыкальных самоедов (TP-33, TP-34, TP-38, TP-39,
TP-41, TP-44 и TP-45). Штаммы, входящие в данную подгруппу
разработаны примернов марте-апреле 1989 г. Они играют указанную
выше мелодию в 17 часов, а начиная с TP-38 обладают средствами обхода
резидентных фильтров и защиты от трассировки на зараженной
машине. Размер заражаемых EXE-файлов не ограничен, а заражение
ведется общепринятым способом.
В первом приближении "динамика" изменений свойств данной группы
вирусов может быть представлена следующим образом (изложение базируется
на материалах, предоставленных Д.Н.Лозинским): до версии
TP-05 при заражении портится дата создания файла; до TP-09 включительно
при заражении COM-файла требуется, чтобы первой командой
программы была JMP (т.е. файл начинался с кода E9).
До TP-16 заражение EXE программ произходит в два этапа. На
первом этапе EXE-программа трансформируется в COM-формат, путем
дописывния специального "псевдозагрузчика" размером 132 байта,
присоединяющегося по типу вируса, но лишенного способности к
самостоятельному размножению. Следует отметить, что преобразование
EXE-файла в COM-файл, выполняемое вирусом, отличается от
преобразования, выполняемого утилитой EXE2COM и, тем самым,
представляет некоторый самостоятельный интерес. На втором этапе
получившийся агрегат заражается как обычный COM-файл (полифаг
AIDSTEST распознает такой "агрегат" и помечает его в протоколе как
(FL)).
Следующие версии, включая TP-34, также преобразуют файлы типа
EXE в файлы типа COM, однако делают это в один прием. По-видимому,
штаммов от TP-16 до TP-24 вообще не существует. Начиная с версии
TP-35 EXE-программы сохраняют свой формат, причем во всех заражаемых
модулях со смещением 12h от начала стоит расстояние до начала
вируса, деленное на 16. Одновременно в начале вируса дублируется
сигнатура F47A и номер версии. Версия TP-45 при заражении EXE-программы
в конец файла эту информацию не пишет. С версии TP-24 размножение
не обнаруживается резидентными антивирусными программами,
следящими за записью в программные файлы, поскольку вирус передает
управление непосредственно в BIOS, обходя сторожей. С версии TP-33
вирусы принимают меры защиты от трассировки. В предыдущей главе
описан нерезидентный вирус E-1961, называемый SCAN Yankee Doodle
Short длиной 1961 байт, однако с данной группой его объединяет
только общность играемой мелодии.
Для данного семейства вирусов просматривается прямая аналогия с
описанной выше игрой Animal, хотя конструктивная цель в данном
случае отсутствует. Номер версии вируса используется данным вирусом
для идентификации себя в оперативной памяти и возвращается резидентными
частями вируса при выполнении прерывания 21-C500 для
версий 19h, 21h, 22h или 21-C600 для версий 26h, 29h, 2Сh. При
этом, если запускать поочередно файлы, зараженные вирусами разных
версий в порядке возрастания версий, то в оперативной памяти будет
создана как бы цепочка резидентных вирусов, причем при запуске незараженной
программы она будет инфицирована версией вируса с наибольшим
номером. Если же начать загружать зараженные программы в
порядке убывания версии вируса, то версии с меньшими номерами не
будут становиться резидентными. Используя эту идею, В. Пономаренко
создал резидентную поливакцину NEATVAC (СП 2-7), позволяющую блокировать
заражение оперативной памяти данным вирусом.
Кроме того, и это существенно усиливает аналогию с игрой Animal,
резидентный вирус, входящий в подгруппу самоедов, при попытке заражения
некоторой программы не только контролирует, заражена уже
эта программа или нет, но и определяет номер версии, если программа
уже заражена одним из вирусов данной группы. Дальнейшие действия
вируса зависят от того, больше этот номер версии его собственного
номера или нет. Если программа заражена вирусом с меньшим номером,
то вирус заменит эту версию на свою, предварительно "выкусив"
старую. Поскольку вирус при этом проверяет только последние
байты файла, можно вакцинировать файл от большинства вирусов этой
группы, дописав в конец строку F4 7A FF 00.
Полидетектор SCAN называет представителей данной группы вирусов
"Vacsina virus [Vacs]" или "Yankee Doodle Virus [Doodle]", причем
ранние (до 66) версии SCAN часто выдают для зараженного файла оба
имени одновременно, что обычно не означает заражения модуля двумя
вирусами, а связано с несовершенством используемых в нем сигнатур.
5.3.1. Подгруппа Vacsina
Данная подгруппа получила свое название в связи с тем, что все
входящие в нее штаммы содержат строку "VACSINA". Заражаются как
COM-, так и EXE-файлы, причем максимальная длина зараженных файлов
не превышает 64К. Заражение файлов происходит при запуске на выполнение
соответствующих программ. При заражении вирусы данной
подгруппы дописывают свое тело в конец COM- и EXE-файлов. Штаммы
подгруппы работоспособны на любой версии MS DOS. Проверка номера
версии в теле вируса не выполняется. Перехватывают прерывание 21h.
Заражаются только COM-файлы, имеющие размер менее 63К и начинающиеся
с команды перехода (первый байт файла должен содержать E9h).
Дата создания и атрибуты остаются неизменными. Заражение выполняется
однократно. При заражении вирус дописывает тело в конец файла,
вставляя в первые три байта команду перехода на начало вируса.
Длина зараженного файла увеличивается до значения, кратного 16,
поэтому при лечении недостаточно укорачивать файл на стандартную
величину — исходная длина файла должна быть извлечена из тела вируса.
В конце тела вируса хранятся байты F4h, 7Ah, по которым вирус
определяет, что данный СOM-файл уже заражен.
Как уже отмечалось, заражение EXE-файлов выполняется данной
группой очень своеобразно: в заголовок заражаемого EXE-файла записывается
команда перехода на тело вируса (в данном случае тело
представляет собой часть вируса размером 132 (84h), обеспечивающую
загрузку EXE-файлов, т.е. по сути выполняет функции системного загрузчика).
Таким образом, вирус переделывает зараженный EXE-файл в
COM-файл. Этот "псевдозагрузчик" EXE-файлов обеспечивает настройку
загруженного в память файла и передачу на него управления. Для лечения
такого файла достаточно восстановить первые три байта с учетом
первоначальной длины файла и укоротить файл на 132 байта. EXEфайлы,
требующие не всю свободную память системы (не равна FFFF
переменная MaxMem в заголовке), данным вирусом не заражаются. Кроме
того, вирус не заражает файлы, размер которых больше 64К или
размер которых превысил бы 64К при заражении. Поскольку после заражения
EXE-файл фактически превращается в COM-файл, возможно его
вторичное заражение вирусом, уже как файла типа COM.
5.3.1.1. Вирус RСЕ-1206 (ТР-05, VACSINA-5)
Данный вирус является наиболее распространенным в подгруппе, поэтому
рассмотрение подгруппы мы начнем именно с него. Формально
вирус RСЕ-1206 является файловым резидентным вирусом, поражающим
как файлы типа СОМ, так и файлы типа EXE. Зараженный COMMAND.COM
имеет размер 26509 байтов (если его первоначальный размер был
25307 байтов). Длина вируса составляет 1206 (4B6h) байтов. Заражаются
COM-файлы длиной от 1206 (4B6h) до 62867 (F593h) байтов и
EXE-файлы длиной до FDB3h байтов при загрузке их в память для выполнения
(21-4Bh).
Инсталляция вируса выполняется обычным образом. При выполнении
зараженной COM-программы управление командой JMP (Е9h) передается
на начало вируса. Первыми командами вирус узнает длину исходного
файла и проверяет наличие своей копии в памяти компьютера. Если
компьютер не заражен, то вирус копирует всю программу в свободное
место в памяти и, таким образом, остается резидентным. Затем вирус
перехватывает прерывание 21h. В результате при запуске любой программы
вирус получает управление, проверяет, является ли запускаемая
программа зараженной, и если нет, то заражает данную программу
на диске. Определение зараженности программы основано на считывании
последних 3 байтов зараженной программы.
У заражаемого COM-файла вирус проверяет первый байт. Если этот
байт не равен E9h (JMP), то файл не заражается. При заражении длина
файла увеличивается до значения, кратного параграфу (16 байтов),
к файлу добавляются 1206 байтов вируса и изменяются первые 3
байта файла (JMP на тело вируса). При заражении EXE-файла к нему
дописываются 132 байта из тела вируса и изменяются первые 3 байта
файла (JMP на тело вируса), при этом файл преобразуется в формат
COM. Дописанные к файлу 132 байта не распространяют вирус и лишены
способности к размножению. Их действие заключается в настройке адресов
программы при ее запуске (псевдозагрузчик).
Фаза проявления для данного вируса привязана к моменту заражения
файла: при заражении файла раздается звуковой сигнал (BELL).
Резидентная часть вируса обнаруживается путем просмотра списка
резидентных программ (с помощью утилит MAP, SMAP, MMAP и т.д.).
При этом видна "подозрительная" дополнительная программа, не имеющая
ни имени, ни родителя и имеющая размер 1200 байт. Являясь резидентным,
вирус распознает случаи загрузки программ с защищенных
от записи дискет или разделов винчестера и не пытается заражать
такие файлы.
При запуске вирус создает на диске скрытый файл, который, по-видимому,
никакого назначения не выполняет и, возможно, использовался
при отладке.
Исторические замечания. По данным статьи Бончева [11], вирус
имеет болгарское происхождение и разработан в конце 1988 г. В Москве
вирус появился весной 1989 г. В Киеве появился вместе с компьютерами,
приобретенными у одного из московских кооперативов в сентябре
1989 г. Из советских авторов вирус RСЕ-1206 впервые, по-видимому,
описал О.Котик в документации к полифагу ANTI-KOT, который
был первым фагом против данного вируса, широко использовавшимся в
Киеве.
Неформальные названия. Помимо приведенных выше названий,
используется название Sina.
Программные средства защиты. Фаги см. прил.1. Вакцина — NEATVAC.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1206
100 E9C90A9090909090 9090909090909090 ................
110 9090909090909090 9090909090909090 ................
*** Далее следуют строки, идентичные предыдущей ***
810 9090909090909090 9090909090C31A90 ................
820 4D07004B00000000 0000000000000000 M..K............
830 60020B105605AB0E 2000050090909090 `...V... .......
840 9090C31A00564143 53494E4120202020 .....VACSINA
850 0000800000000000 7C1137A80040C200 ........|.7..@..
860 460A000000000000 0020202020202020 F........
870 2020202020202020 2020202020E80000 ...
880 5B508CC00510008B 0E0E0103C8894FFB [P............O.
890 8B0E160103C8894F F78B0E1001894FF9 .......O......O.
8A0 8B0E1401894FF58B 3E18018B160801B1 .....O..".......
8B0 04D3E28B0E0601E3 1726C5B5000183C7 .........&......
8C0 048CDD26032E0801 03E88EDD0104E2E9 ...&............
8D0 0E1FBF00018BF281 C600018BCB2BCEF3 .............+..
8E0 A458FA8E57FB8B67 F9FBFF6FF5B003CF .X..W..g...o....
8F0 9C3D004B74069D2E FF2E0000061E5557 .=.Kt.........UW
900 56525153508BECB8 2435CD212E8C0606 VRQSP...$5.!....
910 002E891E04000E1F BABD00B82425CD21 ............$%.!
920 0E1FBA1400B40FCD 21B800438E5E0E8B ........!..C.^..
930 5606CD217303E9DA 012E890E0800B801 V..!s...........
940 4380E1FECD217303 E9C801B8023D8E5E C....!s......=.^
950 0E8B5606CD217303 E9A8012EA30A008B ..V..!s.........
960 D80E1FBA0C00B906 00B43FCD2172193D ..........?.!r.=
970 060075142E813E0C 004D5A7503E9B501 ..u..."..MZu....
C80 2E8B162C004A8EC2 268C0E0100B82135 ...,.J..&.....!5
C90 53CD21368C060200 36891E00005BB821 S.!6....6....[.!
CA0 258CD28EDABAC000 CD21B800008EC026 %........!.....&
CB0 C706C5007F3926C6 06C700058CC88ED8 ....9&.........
CC0 B41ABA5000CD212E 8B47FBE94EFF1F07 ...P..!..G..N...
CD0 0502F47A0500 ...z..
+----+
сигнатура
Пример карты памяти зараженного компьютера
Addr Program Parent Sg Bytes Hooked Vectors
------ -------- -------- — ------ -----------------
(1111) DOS N/A 2 3536
(17E8) DOSEDIT DOS 2 2016 21
(11F9) DOSEDIT DOS 2 2032
(127B) BETA DOS 2 4064
(137B) N/A DOS 1 3808 03 43
(146A) N/A DOS 1 928 10
(14A5) N/A DOS 1 1264
(14F5) N/A DOS 1 912 09
(152F) N/A DOS 1 736 16 2F
(155E) N/A DOS 1 560
(1582) N/A DOS 1 3296
(1651) N/A DOS 1 5280 17
(0007) N/A N/A 1 1200
5.3.1.2. Вирус RCE-1212 (ТР-04, Vacsina-04).
За исключением нескольких команд, вирус практически полностью
совпадает с вирусом VASCINA-05. Длина вируса составляет 1212 байтов.
Иногда портит дату создания файла.
Исторические сведения. Вирус распространялся на вирусной дискете
В.Бончева. Содержащийся на ней файл TP4VIR.COM датирован 13
декабря 1988 г.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1212
000: E969089090909090 9090909090909090 .i..............
010: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
4C0: 4D07004B00000000 0000000000000000 M..K............
4D0: 5C06FD1856059D10 2000050090909090 \...V... .......
4E0: 9090909005564143 53494E4120202020 .....VACSINA
4F0: 0000800000000000 7011C3900240C200 ........p....@..
500: D009000000000000 0020202020202020 .........
510: 2020202020202020 2020202020E80000 ...
520: 5B508CC00510008B 0E0E0103C8894FFB [P............O.
530: 8B0E160103C8894F F78B0E1001894FF9 .......O......O.
540: 8B0E1401894FF58B 3E18018B160801B1 .....O..".......
920: 5B2E8C0E36002E8B 162C004A8EC2268C [...6....,.J..&.
930: 0E0100B8213553CD 21368C0602003689 ....!5S.!6....6.
940: 1E00005BB821258C D28EDABAC000CD21 ...[.!%........!
950: B800008EC026C706 C5007F3926C606C7 .....&.....9&...
960: 00048CC88ED8B41A BA5000CD212E8B47 .........P..!..G
970: FBE948FFC0040301 F47A0400 ..H......z..
+--------+
сигнатура
5.3.1.3. Вирус RCE-1339 (ТР-16, Vacsina-10)
Длина этого вируса 1339 (53Bh) при заражении COM- и 1483 — EXEфайлов.
Как и во всех вирусах рассматриваемой подгруппы, заражение
EXE-файл
...Закладка в соц.сетях
