Жанр: Учеба
Компьютерная вирусология ч. 1
...ов происходит в две стадии. После первой стадии файл удлиняется
на 132 байта. Никаких действий, кроме размножения, вирус не
выполняет. Заражаются COM-файлы длиной от 1339 (53Bh) до 62601
(F489h) байтов и EXE-файлы длиной до FDB3h байтов при загрузке их
в память для выполнения (21-4Bh). По структуре вирус довольно близок
к RCE-1206 (VASCINA-05), однако заражает COM-файлы вне зависимости
от первого байта файла (вирус VACSINA-05 заражает только
файлы, первый байт которых равен E9h).
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1339
000: E94D099090909090 9090909090909090 .M..............
010: 9090909090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
540: 4D08005300000000 0000000000000000 M..S............
550: 5C06FD1856059D10 20000500AE002100 \...V... .....!.
560: 9090909090909090 9090909090900056 ...............V
570: 414353494E412020 2020000080000000 ACSINA ......
580: 00009C11FB750140 C200460A00000000 .....u.@..F.....
590: 0000002020202020 2020202020202020 ...
5A0: 20202020202020E8 00005B508CC00510 ...[P....
5B0: 008B0E0E0103C889 4FFB8B0E160103C8 ........O.......
5C0: 894FF78B0E100189 4FF98B0E1401894F .O......O......O
5D0: F58B3E18018B1608 01B104D3E28B0E06 ..".............
A40: 00005BB821258CD2 8EDABACA00CD21B8 ..[.!%........!.
A50: 00008EC026C706C5 007F3926C606C700 ....&.....9&....
A60: 108CC88ED8B41ABA 5000CD212E8B47FB ........P..!..G.
A70: E92DFF40050301F4 7A10E9 .-.@....z..
+-----+
сигнатура
5.3.2. Подгруппа музыкальной перезагрузки
Штаммы, входящие в данную группу, имеют характерную фазу проявления:
в зараженной ими системе попытка перезагрузки MS DOS с помощью
комбинации нажатий клавиш CTRL-ALT-DEL вызывает в начале
звучание мелодии "Янки дудль денди". Звучание продолжается примерно
20 с., а затем происходит нормальная перезагрузка системы.
5.3.2.1. Вирус RСЕ-1805 (ТP-25, Yankee Doodle-19 --
Янки дудль-19, Музыкальная перезагрузка)
Вирус RСЕ-1805 является файловым резидентным вирусом, поражающим
как файлы типа СОМ, так и файлы типа EXE. Заражение файлов происходит
при запуске на выполнение соответствующих программ. Заражает
COMMAND.COM. Вирус работоспособен на любой версии MS DOS.
При запуске зараженной программы данный вирус сначала проверяет,
имеется ли уже резидентный вирус, по описанной выше схеме, единой
для данной группы. При этой проверке возвращается номер версии резидентного
вируса, если он есть в оперативной памяти. Если номер
версии резидентного вируса меньше, чем номер версии вируса в зараженной
программе или вирус в оперативной памяти отсутствует, то
старшая версия вируса из зараженной программы становится резидентной
и перехватывает прерывания 09 и 21.
Заражение выполняется при запуске программы на выполнение.
Получив управление по прерыванию 21-4B вирус проверяет, является
ли запускаемая программа зараженной, и если нет, то заражает данную
программу на диске. При этом вирус изменяет первые 14 байтов
зараженной программы и дописывает в конце программы собственное
тело. Определение зараженности программы основано на считывании
последних 8 байтов зараженной программы. Подобно вирусу RC-1701,
RCE-1805 не проверяет, загружается ли файл с защищенной дискеты
или нет.
Зараженные файлы увеличиваются в размере на 1805-1820 байтов,
причем дата их создания и атрибуты остаются неизменными. Заражение
выполняется однократно.
Фаза проявления была описана выше. Никаких других несанкционированных
действий, кроме проигрывания мелодии при нажатии клавиш
CTRL-ALT-DEL, вирус не выполняет.
Резидентная часть вируса обнаруживается путем просмотра списка
резидентных программ (с помощью утилит MAP, SMAP, MMAP и т.д.).
При этом видна "подозрительная" дополнительная программа, не имеющая
ни имени, ни родителя и имеющая размер 1792 байт. При этом в
графе "Hooked vectors" не указано ни одного перехваченного прерывания,
что, конечно же, не соответствует действительности. Вирус
обращается к 21 прерыванию непосредственно, а не с помощью команды
INT, что обеспечивает обход простейших фильтров типа VIRBLK.
Исторические замечания. Данный вирус был обнаружен в Киеве в
июле 1989 г. Одним из первых этот вирус исследовали В.Е.Еременко и
Е.Ю.Портной, которые самостоятельно разработали фаг для этого вируса
в сентябре 1989 г. Первым попавшим в Киев фагом против данного
вируса была программа VDEATH. В настоящее время вирус
практически полностью уничтожен.
Программные средства защиты. Рекомендуемые полифаги приведены в
табл.1. Вирус содержит примитивные средства защиты против трассировки
и обхода резидентных средств защиты. В частности, попытки
записи вируса в запускаемый файл не обнаруживаются ни VIRBLK, ни
ANTI4US2. Фильтр ANTI4US2 не срабатывает на попытку вируса стать
резидентным. При использовании Advanced Disk Manager вирус не в
состоянии попасть в разделы винчестера, для которых установлен
статус READ ONLY. Однако при этом блокируется вызов программ.
Имеется резидентная вакцина (NEATVAC).
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1805
000: E9B5079090909090 9090909090909090 ................
010: 9090909090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
400: 4D08007000000000 0000000000000000 M..p............
410: 050EC32B60142602 5605E3281101FB2A ...+`.&.V..(...*
420: 2000050006052100 000000010C909090 .....!.........
430: 9090909090909090 909090FF2E10009C ................
440: FA2EFF1E1400C353 502E8B1E2200B445 .......SP..."..E
450: E8ECFF72098BD8B4 3EE8E3FFEB01F858 ...r...."......X
460: 5BC3B003CF50E460 3C53752EB402CD16 [....P.`"Su.....
470: 240C3C0C75248CC8 8ED88ED0BCFEFF2E $.".u$..........
480: 803E2C000A7203E8 C405B800008ED8C7 .",..r..........
490: 0672043412EAF0FF 00F0582EFF2E1C00 .r.4......X.....
4A0: 9C3D004B74613D00 C574483D01C57448 .=.Kta=..tH=..tH
4B0: 3D02C5744B3D03C5 740C9D2EFF2E1000 =..tK=..t.......
5F0: B900008BD18B1E22 00E843FE72E583FA ......."..C.r...
600: 0075E03D200076DB 3D1DF09073D5A305 .u.= .v.=...s...
610: 07B80042B900008B D18B1E2200E81FFE ...B......."....
620: 72C1BA2D00B90E00 B43FE812FE72B43D r..-.....?...r.=
630: 0E0075AF813E2D00 4D5A740B813E2D00 ..u.."-.MZt.."-.
... .. .. .. .. .. .. .. .. .. .. .. .. AA0:
C400DC00C400AE00 A400AE00C400DC00 ................
AB0: F600DC00AE00DC00 F6000601DC00C400 ................
AC0: 0601F60025010601 0601FFFF19191919 ....%...........
AD0: 1919191919191919 3232191919191919 ........22......
AE0: 1919191919193232 1A191A1919191919 ......22........
AF0: 1A191A1919191E1A 191A191919191E19 ................
B00: 1919193232000493 91F47A1990 ...22.....z..
5.3.2.2. Вирус RСЕ-1760 (ТP-24, Yankee Doodle-18 --
Янки дудль-18, Музыкальная перезагрузка)
Данный штамм практически не отличается от предыдущего.
Фрагмент дампа программы DUMY.COM,
зараженной вирусом RCE-1760
000: E9B8039090909090 9090909090909090 ................
010: 9090909090909090 9090909090909090 ................
020: 9090909090909090 9090909090909090 ................
030: 4D08006D00000000 0000000000000000 M..m............
040: 3903981460146402 56059D10E6049A11 9...`.d.V.......
050: 2000050045002100 000000012F909090 ...E.!...../...
060: 9090909090909090 909090FF2E10009C ................
070: FA2EFF1E1400C353 502E8B1E2200B445 .......SP..."..E
080: E8ECFF72098BD8B4 3EE8E3FFEB01F858 ...r...."......X
090: 5BC3B003CF50E460 3C53752EB402CD16 [....P.`"Su.....
0A0: 240C3C0C75248CC8 8ED88ED0BCFEFF2E $.".u$..........
0B0: 803E2C000A7203E8 9705B800008ED8C7 .",..r..........
0C0: 0672043412EAF0FF 00F0582EFF2E1C00 .r.4......X.....
0D0: 9C3D004B74613D00 C574483D01C57448 .=.Kta=..tH=..tH
0E0: 3D02C5744B3D03C5 740C9D2EFF2E1000 =..tK=..t.......
0F0: 9DFBF9CA0200B819 002EF6062B000275 ............+..u
630: C4E6615F5A5958C3 8B3C83FFFF74113E ..a_ZYX.."...t."
640: 8A5E002AC92AFFE8 C2FF83C6024575E8 .^.*.*.......Eu.
650: C3BE2B06BD9F06E8 DEFFC30601060125 ..+............%
660: 0149010601490125 01C4000601060125 .I...I.%.......%
670: 0149010601060106 010601250149015D .I.........%.I.]
680: 01490125010601F6 00C400DC00F60006 .I.%............
690: 010601DC00F600DC 00AE00DC00F60006 ................
6A0: 01DC00C400DC00C4 00AE00A400AE00C4 ................
6B0: 00DC00F600DC00AE 00DC00F6000601DC ................
6C0: 00C4000601F60025 0106010601FFFF19 .......%........
6D0: 1919191919191919 1919193232191919 ...........22...
6E0: 1919191919191919 1932321A191A1919 .........22.....
6F0: 1919191A191A1919 191E1A191A191919 ................
700: 191E191919193232 30009391F47A1890 ......220....z..
+----+
сигнатура
5.3.3. Подгруппа музыкальных самоедов
В данную подгруппу входят наиболее совершенные штаммы данной
группы вирусов. По-видимому, все представители данной группы играют
в 17.00 мелодию Янки Дудль Денди, поэтому их иногда называют
Five o'clock (Пять часов). Штаммы, входящие в данную подгруппу
увеличивают свои функциональные возможности, с возрастанием номера
версии. Стиль написания вируса создает впечатление перекодировки с
языка высокого уровня. Возможно, прототип был предварительно написан
на Турбо Паскале, отсюда и название TP. Для структуры этой
подгруппы характерно наличие многочисленных подпрограмм и активное
использование стека. При анализе дампов программ, зараженных штаммами
данной подгруппы, обращает на себя внимание тот факт, что все
они содержат группы повторяющихся символов с кодом 05. Поэтому для
контекстного поиска зараженных файлов можно использовать строку,
состоящую из восьми повторений символа с шестнадцатиричным кодом
05.
Начиная со штамма RCE-2661 (ТР-38) в них применяется защита от
обнаружения фильтрами, перехватывающими прерывание 21. Примененный
прием основан на выполнении трассировки программ, "сидящих" на 21
прерывании до попадания в "оригинальный" обработчик MS DOS, и запоминании
соответствующего адреса. Кроме того, именно с этого
штамма наблюдается эффект "самоизлечения" зараженной программы,
при попытке трассировки ее на зараженной вирусом машине.
Среди данной подгруппы впервые встречается попытка реализовать
модификацию одного вируса другим вирусом. Начиная со штамма ТР-42,
вирус проверяет, заражен ли компьютер, на котором он распространяется
вирусом Bx1-1C (Пинг-понг). Если да, то выполняется модификация
вируса Bx1-1C в памяти таким образом, что в код вируса вводится
специальный счетчик, инициализируемый значением 255. После заражения
дискеты вирус уменьшает счетчик на единицу и при достижении
счетчиком значения нуль перестает размножаться. Кроме того,
начиная со штамма TP-44, мелодия играется не каждый раз при достижении
часами значения 17.00, а с вероятностью приблизительно 1/8,
что несколько затрудняет обнаружение вируса.
Наиболее распространенным представителем этой группы является
штамм RCE-2885 (Five o'clock; TP-44), с которого мы и начнем описание
представителей данной группы.
5.3.3.1. Штамм RCE-2885 (TP-44,
Yankee Doodle-2C - Янки дудль-2С, Five o'clock)
Вирус RСЕ-2885 является файловым резидентным вирусом, поражающим
как файлы типа СОМ, так и файлы типа EXE. Заражение файлов происходит
при запуске на выполнение соответствующих программ. Заражение
COMMAND.COM происходит сразу после инсталляции вируса в верхние
адреса свободной оперативной памяти, поскольку при этом затирается
транзитная часть COMMAND.COM. Зараженный командный процессор
имеет длину 28197, при исходной длине 25307.
Зависимости работоспособности вируса от версии MS DOS не
обнаружено. Проверка номера версии в теле вируса не выполняется.
Перехватывает прерывания 1, 3, 1Ch, 21h. Дата создания и атрибуты
заражаемого файла остаются неизменными. Заражение выполняется однократно.
При заражении COM-файлов вирус дописывает свое тело в конец файла,
вставляя в первые три байта команду перехода на начало вируса.
Зараженные COM-файлы увеличиваются на 2885 (B45h) байтов (с выравниванием
на границу параграфа). Заражаются COM-файлы длиной от 20h
до F277h байтов. В конце зараженного файла расположена четырехбайтовая
сигнатура вируса 7Fh, 39h, 2Ch, 00h.
При заражении EXE-файлов вирус также дописывает свое тело в конец
файла с выравниванием начала вируса на границу параграфа. При
этом размер файла увеличивается на 2881 (B41h) байт. Длина при заражении
EXE- файлов не контролируется. В конце зараженного EXEфайла
четырехбайтовая сигнатура отсутствует.
При инсталляции вирус узнает длину исходного файла, восстанавливает
истинный стартовый адрес программы и проверяет наличие своей
копии в памяти компьютера. Если компьютер не заражен или заражен
более ранней версией вируса, то RCE-2885 копирует себя в область
памяти либо сразу за телом программы, либо выделенную функцией
ALLOC (21-48h) и, манипулируя с MCB, остается резидентным в памяти,
перехватывая прерывания 21h, 1Ch и 09h.
Вирус RCE-2885 проверяет, загружается ли файл с защищенной дискеты
или нет. Поэтому он не препятствует загрузке любого СОМ-файла
с защищенной дискеты. Резидентная часть вируса не обнаруживается
путем просмотра списка резидентных программ (с помощью утилит MAP,
SMAP, MMAP и т.д.). При этом вирус не детектируется программой
RELEASE, а попытка запустить RELEASE на зараженной машине приводит
к выдаче сообщения о том, что RELEASE не может стать резидентным.
Вирус обходит контроль резидентных фильтров, следящих за записью в
программные файлы.
Фаза проявления данного вируса состоит в проигрывании с вероятностью
1/8 мелодии Янки Дудль ("Yankee Doodle") в 17 часов (точнее,
в 16:59:53). Никаких разрушений или манипулирований с данными
вирус не выполняет.
При попытке дизассемблирования дизассемблером Sourcer, а также
трассировке на зараженной машине, наблюдается эффект "самоизлечения"
файлов. Этот достаточно "экзотический" эффект достигается за
счет контроля прерываний 1h и 3h при получении управления по прерыванию
1Ch. По умолчанию процедуры обработки этих прерываний состоят
из одной команды возврата. При загрузке программы, перехватывающей
данные прерывания (программа трассировки или дизассемблер
типа SOURCER), вирус устанавливает для указанных прерываний собственные
процедуры обработки. Последние проверяют, не произошли ли
эти прерывания из кодового сегмента, в котором расположена резидентная
часть вируса, и если да, запускают подпрограмму восстановления
кода вируса, тем самым отключая программу трассировки.
Другими словами контроль прерываний 1 и 3 состоит в том, что, пока
процедуры обработки этих прерываний состоят из одной команды возврата
из прерывания, никаких действий вирусом не производится, но
стоит Вам загрузить программу, модифицирующую адреса обработчика
данных прерываний (например, отладчик), как вирус установит для
них собственные процедуры обработки. Основной целью перехвата управления
при обработке прерываний 1h и 3h является проверка, не
произошли ли эти прерывания из кодового сегмента, равного сегменту
загрузки в память резидентного вируса. Если это так, то кто-то пытается
посмотреть работу вируса под отладчиком, и в ответ на это
вызывается специальная процедура восстановления кода вируса, чем
прерывается работа отладчика.
Аналогичным образом реализовано самоизлечение загружаемых в
трассировщик зараженных файлов: резидентная часть вируса отслеживает
момент загрузки программы в память без исполнения (21-4Bh,
AH=03), и проверяет, загружают в память зараженную программу или
нет. В последнем случае запускается подпрограмма "выкусывания" вируса.
Как уже указывалось, при заражении файлов, зараженных предыдущими
версиями вируса, выполняется сначала "выкусывание", а затем
заражение данным штаммом.
Исторические замечания. Впервые вирус был описан В.Бончевым под
названием TP-44. Данный вирус был обнаружен в Киеве в сентябре
1989 г. Первым фагом для данного вируса были программы RVC и RVE.
(для COM- и EXE-файлов, соответственно). В настоящее время данные
программы представляют только исторический интерес.
Неформальные названия. Помимо приведенных в заголовке,
используются следующие названия: Янки Дудль, Музыкальный, Летучий
Голландец, TP-44.
Программные средства защиты. Простейшие средства защиты недостаточно
эффективны против данного вируса. В частности, попытки записи
вируса в запускаемый файл не обнаруживаются ни VIRBLK, ни
ANTI4US2. Эффективна защита на уровне дискового драйвера (Advanced
Disk Manager, Dcache и т.д.). Как уже указывалось, вирус содержит
средства защиты против трассировки. Для контроля работы детекторов
можно использовать поиск строки "0505050505050505"h.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-2885
100 E90E089090909090 9090909090909090 ................
110 9090040090909090 9090909090909090 ................
120 9090909090909090 9090909090909090 ................
130 9090909090909090 909090C37A3D0000 ............z=..
140 F47A2C0000003C00 BE0A909090909090 .z,...".........
150 9090909090909090 9090909090909090 ................
160 9090909090909090 9090601479026014 ..........`.y.`.
170 790256058C4253FF 00F00500B6643B13 y.V..BS......d;.
180 DE006A002E833ED4 065C0770002E833E ..j..."..\.p..."
190 D4065C0770000000 2101000100016901 ..\.p...!.....i.
1A0 0000100000010002 CF02C711C711E60F ................
1B0 280EC711280EE60F C417C711C711E60F (...(...........
1C0 280EC711C711C711 C711E60F280E590D (...........(.Y.
1D0 280EE60FC711EF12 C4172C15EF12C711 (.........,.....
1E0 C7112C15EF122C15 C51A2C15EF12C711 ..,...,...,.....
1F0 2C15C4172C15C417 C51A671CC51AC417 ,...,.....g.....
200 2C15EF122C15C51A 2C15EF12C7112C15 ,...,...,.....,.
210 C417C711EF12E60F C711C711FFFF0505 ................
220 0505050505050505 0505090905050505 ................
230 0505050505050505 0909050505050505 ................
240 0505050505050505 0605050505050505 ................
250 06050505050909FE 067A7DFE06FB7D74 .........z}...}t
+----- начало инсталлятора вируса
V
911 E800005B81EBD4 072EC6875C00FFFC ....[.......\...
920 2E80BF5B00007418 BE0A0003F3BF0001 ...[..t.........
930 B92000F3A40E2EFF B76400061E50EB13 . .......d...P..
B60 3146F826A10A0031 46FA26A10C003146 1F.&...1F.&...1F
B70 FC26A10E003146FE EB118BC1B908008D .&...1F.........
B80 76F033FFF336A58B C8EB0349EB9BD1EA v.3..6.....I....
B90 7202EB868BE55DC3 558BEC1E8E5E048E r.....].U....^..
BA0 460633DB268B0731 0783C30283FB1072 F.3.&..1.......r
BB0 F3FF4604FF4606FF 4E0875E01F5DC355 ..F..F..N.u..].U
BC0 8BEC1EB30133F633 C98B7E08037E0A4F .....3.3..~..~.O
BD0 8EDFD02CD1D14F3B 7E0873F40BC97411 ...,..O;~.s...t.
BE0 51FF7606FF7604E8 EBFE83C4068ED830 Q.v..v.........0
BF0 1C4683FE1072D0D0 E373CA1F5DC387DB .F...r...s..]...
C00 88CB8A998F38E7CD A19B3EEF86C89783 .....8....".....
C10 5234BE8C2129B1F9 C19B120409F34501 R4..!)........E.
C20 931DB0B9C6010692 375049E8D5719722 ........7PI..q."
C30 A6E64C50BE2A23BE 441DA1A66BA0E006 ..LP.*#.D...k...
C40 AA1AF62AC0022F75 99060F5B97023E64 ...*../u...[.."d
C50 7DC8506608C4FA92 8E64751BA61BB932 }.Pf.....du....2
C60 BD0B3E616DE0C4B9 29CA9C170821EAEE .."am...)....!..
C70 7E85B1632AC37171 2CA0F28B590DF9D5 ~..c*.qq,...Y...
C80 00F47A2C00 ..z,.
+----+
сигнатура
5.3.3.2. Вирус RCE-2680
(ТР-33, Yankee Doodle-21 — Янки дудль-21)
Этот штамм, по-видимому, является первым представителем подгруппы
самоедов. Именно в нем была добавлена часть, обеспечивающая
восстановление оригинального кода вируса при изменении до 16 последовательных
байтов (с помощью самокорректирующегося кода Хемминга).
Вирус играет мелодию Янки Дудль в 17 часов.
Исторические замечания. Данный вирус распространялся на вирусной
дискете В.Бончева в файле TP33VIR.COM, датированном 17 февраля
1989 г.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-2680
0100 E99F069090909090 9090909090909090 ................
0110 9090909090909090 9090909090909090 ................
0120 9090909090909090 9090909090909090 ................
0130 9090909090909090 90909090909090C3 ................
0140 4D0800AF00000000 0000000000000000 M...............
0150 6002FD1660147402 5605631353FF00F0 `...`.t.V.c.S...
0160 20000500BB916A13 0000C60052002EC6 .....j.....R...
0170 5C077000558B5C07 7000010001909090 \.p.U.\.p.......
0180 9090909090909090 90909087DB87DB90 ................
0190 6402C711C711E60F 280EC711280EE60F d.......(...(...
01A0 C417C711C711E60F 280EC711C711C711 ........(.......
01B0 C711E60F280E590D 280EE60FC711EF12 ....(.Y.(.......
01C0 C4172C15EF12C711 C7112C15EF122C15 ..,.......,...,.
01D0 C51A2C15EF12C711 2C15C4172C15C417 ..,.....,...,...
01E0 C51A671CC51AC417 2C15EF122C15C51A ..g.....,...,...
01F0 2C15EF12C7112C15 C417C711EF12E60F ,.....,.........
0200 C711C711FFFF0505 0505050505050505 ................
0210 0505090905050505 0505050505050505 ................
0220 0909050505050505 0505050505050505 ................
0230 0605050505050505 0605050505090950 ...............P
0240 53B800008EC026C4 1C895D028C450426 S.....&...]..E.&
0250 803FCF740A268B07 890526C707CD1C5B .?.t.&....&....[
+---- начало инсталлятора вируса
V
07A2 E800005B81EB 65065053BB2100F8 C....[..e.PS.!..
07B0 B803C5CD215B7223 83FCF0721E2E8B97 ....![r#...r....
07C0 0300428CD903D18E C28BF38BFEB9780A ..B...........x.
0B90 4390CFD2EF3B32E9 5F393E674E4B471B C....;2._9"gNKG.
0BA0 D22B7A58EC6C90D9 E60A21B50D5FB446 .+zX.l....!.._.F
0BB0 40009391F47A2190 @....z!.
+----+
сигнатура
5.3.3.3. Вирус RCE-2568
(ТР-34, Yankee Doodle-22 — Янки дудль-22)
Фрагмент дампа дрозофилы, зараженной вирусом RCE-2568
0100 E98F069090909090 9090909090909090 ................
0110 9090909090909090 9090909090909090 ................
0120 9090909090909090 9090909090909090 ................
0130 9090909090909090 90909090909090C3 ................
0140 6002FD1660147402 5605233C53FF00F0 `...`.t.V.#"S...
0150 2000050093916A13 0000B60042002EA3 .....j.....B...
0160 5C07700087EC5C07 7000010001909090 \.p...\.p.......
0170 9090909090909090 90909087DB87DB90 ................
0180 5402C711C711E60F 280EC711280EE60F T.......(...(...
0190 C417C711C711E60F 280EC711C711C711 ........(.......
01A0 C711E60F280E590D 280EE60FC711EF12 ....(.Y.(.......
01B0 C4172C15EF12C711 C7112C15EF122C15 ..,.......,...,.
01C0 C51A2C15EF12C711 2C15C4172C15C417 ..,.....,...,...
01D0 C51A671CC51AC417 2C15EF122C15C51A ..g.....,...,...
01E0 2C15EF12C7112C15 C417C711EF12E60F ,.....,.........
01F0 C711C711FFFF0505 0505050505050505 ................
0200 0505090905050505 0505050505050505 ................
0210 0909050505050505 0505050505050505 ................
0220 0605050505050505 0605050505090950 ...............P
0230 53B800008EC026C4 1C895D028C450426 S.....&...]..E.&
0240 803FCF740A268B07 890526C707CD1C5B .?.t.&....&....[
+---- начало инсталлятора вируса
V
0792 E800005B81EB 55065053BB2200F8 C....[..U.PS."..
07A0 B803C5CD215B7203 E9AE00598CC88ED8 ....