Жанр: Учеба
Компьютерная вирусология ч. 1
...505050505050505 0909050505050505 ................
230 0505050505050909 0505050505050505 ................
240 0505050505050605 0505050505050605 ................
250 0505050909505333 C08EC026C41C895D .....PS3...&...]
260 028C450426803FCF 740A268B07890526 ..E.&.?.t.&....&
270 C707CD1C5B58C356 57BE0400BF4800E8 ....[X.VW....H..
начало инсталлятора вируса ----+
V
8DE E800 ..U..t...R.QC...
8E0 005B81EBA107FC2E 80BF5600007418BE .[........V..t..
8F0 0A0003F3BF0001B9 2000F3A40E2EFFB7 ........ .......
BC0 F0435C6B7478F6AE 05B22AD44954519F .C\ktx....*.ITQ.
BD0 DD99113FEAE02D2E 6DCC95C81233C43E ...?..-.m....3."
BE0 5A2B8B33E11C3E88 C4806AC3DEFF6F33 Z+.3.."...j...o3
BF0 44223341E9BC133D CA1B92C402A0D2FD D"3A...=........
C00 |F47A2600 .z&.
+-----+
сигнатура
5.3.3.5. Вирус RCE-2901
(ТР-45, Yankee Doodle-2D — Янки дудль-2D)
Данный вирус отличается от TP-44 лишь незначительными деталями.
Исторические замечания. Вирус распространялся на вирусной
дискете В.Бончева в файле COMMAND.VIR. По-видимому вирус
разработан весной 1989 г.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-2901
000: E906089090909090 9090909090909090 ................
010: 9090030090909090 9090909090909090 ................
020: 9090909090909090 9090909090909090 ................
030: F47A2D0000003000 C60A909090909090 .z-...0.........
040: 9090909090909090 9090909090909090 ................
050: 9090909090909090 9090390398146014 ..........9...`.
060: 640256059D1053FF 00F0050045002100 d.V...S.....E.!.
070: DE006A009A87014A 9F5C0770009C2E8F ..j....J.\.p....
080: 06775C0770000000 2001000100013F01 .w\.p... .....?.
090: 0000100000010002 CF02C711C711E60F ................
0A0: 280EC711280EE60F C417C711C711E60F (...(...........
0B0: 280EC711C711C711 C711E60F280E590D (...........(.Y.
0C0: 280EE60FC711EF12 C4172C15EF12C711 (.........,.....
0D0: C7112C15EF122C15 C51A2C15EF12C711 ..,...,...,.....
0E0: 2C15C4172C15C417 C51A671CC51AC417 ,...,.....g.....
0F0: 2C15EF122C15C51A 2C15EF12C7112C15 ,...,...,.....,.
100: C417C711EF12E60F C711C711FFFF0505 ................
110: 0505050505050505 0505090905050505 ................
120: 0505050505050505 0909050505050505 ................
130: 0505050505050505 0605050505050505 ................
140: 06050505050909FE 067A7DFE06FB7D74 .........z}...}t
150: 05EA007C0000FC33 C08EC0BE2A7DBF4C ...|...3....*}.L
160: 00A5A52683061304 02EA007C00008B04 ...&.......|....
170: 2DBC0072093D0800 9072038904C3B809 -..r.=...r......
7A0: 06525153508B0E3C 008B163E00B80157 .RQSP.."..."...W
7B0: E8D9FBB43EE8D4FB 8A0E580080F12080 ....".....X... .
7C0: E13FF6C1217411B8 01431E32ED8A0E58 .?..!t...C.2...X
7D0: 00C55604E8BAFB1F B824251EC5163200 ..V......$%...2.
7E0: E8AEFB1F8A165D00 B80133E8A3FB585B ......]...3...X[
7F0: 595A075DF9C359BA 00022E80BF5A0000 YZ.]..Y......Z..
B40: F2DB996A6A37B0CE B3FBC50E2CD85FC4 ...jj7......,._.
B50: 4C99CE00A228B8B9 339F6B8B59C09A66 L....(..3.k.Y..f
B60: DBDB30252E0A0049 34C355356A362F79 ..0%...I4.U5j6/y
B70: 2B8E340D1D0D0629 F94636B8AD18F6AA +.4....).F6.....
B80: 00F47A2D00 ..z-.
+----+
B-сигнатура
5.3.3.6. Вирус RCE-2932
(ТР-41, Yankee Doodle-29 — Янки дудль-29)
Разрушение или модификация данных в вирусе не предусмотрена.
Длина вируса составляет 2932 (B74h) байт. Заражаются COM-файлы
длиной от 20h до F247h байт и EXE-файлы любой длины. Код вируса
практически полностью совпадает с кодом RCE-2885. Отличия от последнего
сводятся к тому, что в 17.00 мелодия играется всегда.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-2932
000: E92F089090909090 9090909090909090 ./..............
010: 9090030090909090 9090909090909090 ................
020: 9090909090909090 9090909090909090 ................
030: F47A290000003000 EE0A909090909090 .z)...0.........
040: 9090909090909090 9090909090909090 ................
050: 9090909090909090 9090390398146014 ..........9...`.
060: 640256059D1053FF 00F0200005004500 d.V...S... ...E.
070: 210000001701DC00 72D0DF04555C0770 !.......r...U\.p
080: 0089BFCE1B975C07 7000010001000101 ......\.p.......
090: 0000100000010002 B302C711C711E60F ................
0A0: 280EC711280EE60F C417C711C711E60F (...(...........
0B0: 280EC711C711C711 C711E60F280E590D (...........(.Y.
0C0: 280EE60FC711EF12 C4172C15EF12C711 (.........,.....
0D0: C7112C15EF122C15 C51A2C15EF12C711 ..,...,...,.....
0E0: 2C15C4172C15C417 C51A671CC51AC417 ,...,.....g.....
0F0: 2C15EF122C15C51A 2C15EF12C7112C15 ,...,...,.....,.
100: C417C711EF12E60F C711C711FFFF0505 ................
110: 0505050505050505 0505090905050505 ................
120: 0505050505050505 0909050505050505 ................
130: 0505050505050505 0605050505050505 ................
140: 06050505050909FE 067A7DFE06FB7D74 .........z}...}t
150: 05EA007C0000FC33 C08EC0BE2A7DBF4C ...|...3....*}.L
160: 00A5A52683061304 02EA007C0000561E ...&.......|..V.
1E0: EC9C061E53500E1F E8E4FF8CC8394608 ....SP.......9F.
1F0: 74358E5E0883BF02 0029752081BF0000 t5.^.....)u ....
200: F47A751881BF0800 EE0A75108CD8D1EB .zu.......u.....
210: D1EBD1EBD1EB03C3 8ED8EB0B836E0205 .............n..
220: 585B1F079D5DCBE8 F8008B460AFE065B X[...].....F...[
230: 00A900017507FF4E 06FE0E5B0025FFFE ....u..N...[.%..
B60: 419EBF488A06A7BA 0A8993557831908F A..H.......Ux1..
B70: B0BAA467FDFB369D F825859828EEBB8E ...g..6..%..(...
B80: A4276E3D35E3DC9E 472D3C7C5AE5D407 .'n=5...G-"|Z...
B90: 805C01401F4CBCFC 3DC3E86DA14C4554 .\.@.L..=..m.LET
BA0: F47A2900 .z).
+-----+
сигнатура
5.4. Группа Avenger
Группа Avenger является одной из наиболее опасных групп вирусов.
В настоящее время включает два вируса: RCE-1800 (Dark Avenger) и
RCE-02000 (Bontchev). Предположительно оба вируса болгарской разработки.
Код вирусов этой группы свидетельствует о глубоком знании
разработчиком MS DOS. В них используется ряд нетривиальных методов
маскировки и обхода простейших резидентных сторожей.
5.4.1. Вирус RCE-1800
(Dark Avenger — Черный мститель; Eddie — Эдди)
Вирус RCE-1800 получил свое название в связи с тем, что в теле
вируса содержатся две достаточно длинные текстовые строки:
1. "Eddie lives...somewhere in time" (в начале вируса, т.е. сразу
после конца зараженного СOM-файла).
2. "This program was written in the city of Sofia (C) 1988-89
Dark Avenger".
Формально RCE-1800 является файловым резидентным вирусом, поражающим
как файлы типа СОМ, так и файлы типа EXE. Это первый
попавший в СССР вирус, стратегия размножения которого
предусматривает заражение программ не только при их выполнении, но
и при других операциях доступа к соответствующим файлам. Поэтому,
при отсутствии противодействия, RCE-1800 размножается гораздо быстрее
ранее рассмотренных вирусов. Помимо заражения при запуске
программ на выполнение, файлы заражаются при создании, переименовании,
открытии и закрытии (прерывания 21-4Bh, 21-3Ch, 21-5Bh, 2156h,
21-3Dh, 21-2h). Такая стратегия размножения делает этот вирус
весьма опасным, поскольку, если в зараженной системе запустить
программу, систематически просматривающую файлы во всех подкаталогах
(например, ревизор), то большая часть СOM- и EXE-файлов будет
в результате заражена.
При запуске зараженной программы вирус сначала проверяет наличие
в оперативной памяти своей копии. При этом копия проверяется полностью
и в случае обнаружения изменений с этого места в память записывается
исходный код вируса. Это существенно затрудняет нейтрализацию
вируса в оперативной памяти. Если вирус не нашел в оперативной
памяти своей копии, то он загружается в верхнюю область системной
памяти, а затем резервирует для себя участок памяти путем
манипуляций с MCB и используя функции MS DOS (выделения, освобождения
и изменения размеров выделенной памяти). При загрузке в
старшие адреса памяти вирус затирает транзитную часть COMMAND.COM.
Поэтому при первой же команде с консоли транзитная часть вызывается
повторно, что и приводит к ее заражению.
На фазе инсталляции вирус определяет расположение в ПЗУ обработчика
прерывания 13h как для дискеты, так и для жесткого диска. Все
необходимые сведения для этой цели он берет из векторов 40h и 41h,
где содержатся, соответственно, адрес обработчика прерывания 13h
в ПЗУ и адрес таблицы параметров для винчестера. Алгоритм определения
адреса прерывания 13 в ПЗУ, используемый вирусом не универсален
и он работает не для всех типов IBM-совместимых компьютеров.
Помимо прерывания 13h, вирус перехватывает прерывания 21h и 27h.
Прерывание 21h используется стандартным образом (отслеживаются
приведенные выше подфункции), а прерыванием 27h вирус пользуется
для того, чтобы проверять, не изменился ли вектор 21h, и при необходимости
восстанавливать его.
Вирус работоспособен на версиях 3.х и 4.х MS DOS. Проверка номера
версии в теле вируса не выполняется.
Зараженные COM-файлы увеличиваются в размере на 1800 байтов,
причем дата их создания и атрибуты остаются неизменными. Заражение
выполняется однократно. При заражении вирус дописывает свое тело в
конец файла, вставляя в первые три байта команду перехода на начало
вируса. Выравнивание на границу параграфа для COM-файлов не выполняется.
Инфицируются COM-файлы длиной от 1775 (6Fh) до 63148
(F6ACh) байтов. В силу сказанного выше, COMMAND.COM является наиболее
подверженной заражению данным вирусом программой. Для версии
3.3 зараженный COMMAND.COM имеет размер 27107 байтов (если его
первоначальный размер был 25307 байтов). Очевидно, что при заражении
не имеет значения, где расположен командный процессор, лишь бы
диск был доступен для записи.
Заражение EXE-файлов выполняется стандартно, за исключением того,
что вирус не сохраняет в своем теле исходной длины заражаемого
файла. Однако восстановление длины программы все же возможно, поскольку
вирус запоминает в теле некоторый байт. При заражении EXEфайлов
вирус дописывается в конец файла с выравниванием на границу
параграфа (т.е. приращение длины колеблется в диапазоне 1800..1815
байтов). Инфицируются EXE-файлы длиной больше 1775 (6Fh) байтов.
Помимо COM- и EXE-файлов, вирус иногда заражает файлы данных.
Это свойство характерно не только для данного вируса, но и для любого
вируса, который заражает открываемые файлы. Зараженные таким
образом файлы данных можно лечить обычным фагом, указав соответствующее
расширение.
Фаза проявления данного вируса связана с разрушением
опеределенных секторов винчестера и наступает после определенного
количества инсталляций вируса (запусков первой зараженной программы
после перезагрузки системы, в ходе которых он становится резидентным).
При зараженном COMMAND.COM количество инсталляций равно
количеству перезагрузок машины после заражения. Вирус ведет
счетчик инсталляций в байте со смещением 0Аh (10) бутсектора. Чтение
бутсектора выполняется с помощью прерывания 25h, что возможно
только для ОС, не поддерживающей диски размером более 32M. Сразу
после очередной инсталляции вирус анализирует 2 байта (8-й и 10-й)
бутсектора диска, с которого была запущена зараженная программа.
Десятый байт используется в качестве счетчика, который вирус увеличивает
на 1 при каждой инсталляции, сохраняя увеличенное значение
в том же байте. При каждой 16-ой инсталляции он уничтожает содержимое
одного из секторов винчестера (номер, по-видимому, выбирается
случайно и зависит от значения 8-го байта бутсектора), записывая
туда первые 512 байтов своего тела. При этом первые байты
запорченного сектора будут содержать фразу "Eddie
lives...somewhere in time", что позволяет выявить все уничтоженные
сектора глобальным контекстным поиском по диску. При заражении
файлов или уничтожении секторов вирус использует прерывание 13
"напрямую" — управление передается в ПЗУ, минуя текущий обработчик
прерывания. Это позволяет обходить проверки резидентных сторожей.
Вирус предпринимает ряд мер по маскировке своего наличия в оперативной
памяти. При старте любой программы вирус помечает программный
сегмент как последний и становится невидимым для этой
программы, по окончании работы программы вирус помечает программный
сегмент как не последний. При завершении программы вирус восстанавливает
первоначальное значение прерывания 21h, если оно было
изменено программой. Вирус вставляет себя первым в цепочку программ,
получающих управление по прерыванию 21h, а в дальнейшем не
позволяет программам встать раньше него в указанном списке. Этот
метод "всплытия" позволяет обойти простейшие резидентные сторожа.
Вирус обходит контроль программ, следящих за прерыванием 13h, определяя
значение этого вектора при инсталляции и в дальнейшем напрямую
обращаясь по соответствующему адресу .
Исторические замечания. Впервые вирус описал В.Бончев [13]. Если
исходить из приведенной выше строки, то RCE-1800 имеет болгарское
происхождение и написан в первой половине 1989 г. В Киеве появился
вместе с компьютерами, приобретенными у одного из московских кооперативов
в сентябре 1989 г. Одним из первых этот вирус выделил
В.О.Ткаченко. Фактически данный вирус был первым вирусом, который
мог уничтожать информацию в базах данных, а не только выполняемые
файлы, и ряд организаций серьезно пострадали в результате повреждения
вирусом их баз данных. Первые фаги для данного вируса не
проверяли его наличие в оперативной памяти, поэтому наблюдались
случаи, когда при запуске фага при резидентном вирусе фаг обнаруживал
зараженный файл, "выкусывал" вирус, а при закрытии файла он
снова оказывался зараженным. Более того, при запуске детектора или
ревизора, не проверявших наличие вируса в оперативной памяти, заражались
все проверявшиеся файлы, которые еще не были заражены.
Поэтому основной особенностью борьбы с данным вирусом являлось быстрое
распространение понимания необходимости нейтрализации резидентного
вируса у разработчиков фагов и не менее быстрое понимание
необходимости проводить "лечение", только загрузившись с эталонной,
защищенной от записи дискеты, у пользователей. В силу особой
опасности заражения данным вирусом многие организации перешли на
сплошной входной контроль поступающего программного обеспечения.
В Москве получил распространение штамм вируса, в котором сообщение
"Eddie lives somewere in time" заменено на "B O R O D A мстит
во времени".
Неформальные названия. Полидетектор SCAN называет данный вирус
"Dark Avenger virus [Dav]". Помимо приведенных в заголовке,
используются названия Avenger (Мститель), Sofia (София), Diana
(Диана). Последнее название связано с тем, что в теле вируса содержится
строка "Diana P".
Программные средства защиты. См. прил.1. Выявление поврежденных
файлов можно выполнить с помощью глобального контекстного поиска
по диску, обеспечиваемого, например, PCTools. Любые действия по
анализу содержимого диска следует выполнять только при условии
предварительной загрузки операционной системы с эталонной, защищенной
по записи, дискеты. При исследовании вируса автор пренебрег
этим правилом, запустив после заражения COMMAND.COM программу подсчета
контрольных сумм и анализа каталогов на винчестере. В результате,
оставаясь резидентным, вирус последовательно заразил порядка
50 COM- и EXE-файлов. Исходя из этого, легко представить себе
последствия прогона батареи фагов на зараженной машине.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1800
000: E955079090909090 9090909090909090 .U..............
010: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
6F0: 4564646965206C69 7665732E2E2E736F Eddie lives...so
700: 6D65776865726520 696E2074696D6521 mewhere in time!
710: 00009023121E8CC3 83C3102E039CFF06 ...#............
720: 2E899C53002E8B9C FD062E899C51008C ...S.........Q..
730: C383C3102E039C03 078ED32E8BA40107 ................
740: EA00000000BF0001 81C60507A4A58B26 ...............&
750: 060033DB53FF64F5 E800005E81EE6B00 ..3.S.d....^..k.
760: FC2E81BC05074D5A 740EFA8BE681C408 ......MZt.......
770: 08FB3B26060073CD 5006561E8BFE33C0 ..;&..s.P.V...3.
780: 508ED8C4064C002E 8984F4062E8C84F6 P....L..........
D50: 164F072E8C1E5107 33DB8EDBC7068400 .O....Q.3.......
D60: EE028C0E86005A5B 581FC35053B462E8 ......Z[X..PS.b.
D70: 72FD8CC8484B8EDB F9131E03003BD872 r...HK.......;.r
D80: F55B58C3A15B07BA 1000F7E2C3546869 .[X..[.......Thi
D90: 732070726F677261 6D20776173207772 s program was wr
DA0: 697474656E20696E 2074686520636974 itten in the cit
DB0: 79206F6620536F66 6961202843292031 y of Sofia (C) 1
DC0: 3938382D38392044 61726B204176656E 988-89 Dark Aven
DD0: 6765720080FC0375 0F80FA807305EAC8 ger....u....s...
DE0: 0EFD18EAC80EFD18 EAC80EFD18000121 ...............!
DF0: 0090909090909090 ........
5.4.2. Вирус RCE-02000
(V2000, Anti-Bontchev — Анти-Бончев)
Вирус RCE-2000 получил свое название в связи с тем, что в теле
вируса содержатся две достаточно длинные текстовые строки:
1. "Zopy me — I want to travel" (в начале вируса, т.е. сразу после
конца зараженной программы).
2. "© 1989 by Vesselin Bontchev" (в конце тела вируса, т.е. в
последнем блоке зараженного файла).
По некоторым данным, вирус вызывает зависание MS DOS при запуске
программм, содержащих строку "© 1989 by Vesselin Bontchev."
В теле вируса имеется также строка "Диана П." (в альтернативной
кодировке). Данный вирус является довольно сильно "доработанным"
штаммом RCE-1800 и является первым попавшем в СССР вирусом,
маскирующем приращение длины зараженных файлов. Маскировка
основана на том, что вирус помечает зараженные файлы, проставляя
значение 62 с. в дате создания файла, как вирусы венской группы
(С-648) и при считывании. Контролируя функции MS DOS типа
FindFirst и FindNext, используемые при просмотре оглавления
командой DIR, вирус вычитает 2000 из значения поля длины таких
элементов оглавления, тем самым маскируя увеличение длины
зараженных файлов. Следует отметить, что оболочки типа Norton
Commander самостоятельно интерпретируют содержимое секторов с
каталогами, не используя указанных выше функций DOS. Для них этот
метод маскировки не действует.
Помимо маскироки увеличения длины зараженных файлов, вирус используется
ряд недокументированных прерываний, что позволяет обходить
слежение за прерываниями 13 и 26. Зараженные COM-файлы увеличиваются
в размере точно на 2000 байтов, причем дата их создания и
атрибуты остаются неизменными. Заражение выполняется однократно.
При заражении вирус дописывает свое тело в конец файла, вставляя в
первые три байта команду перехода на начало вируса. Выравнивание
на границу параграфа для COM-файлов не выполняется. Инфицируются
COM-файлы длиной от 1959 байтов.
Заражение EXE-файлов характерно тем, что, несмотря на то, что
вирус выполняет выравнивание всего тела на границу параграфа, приращение
искусственно поддерживается постоянным и равным 2000 байтов.
Инфицируются EXE-файлы длиной больше 2000 байтов.
Стадия проявления, как и у вируса RCE-1800, состоит в уничтожении
отдельных секторов диска (в них записывается нулевой сектор
текущего диска). Если на диске имеются файлы, иммунизированные от
вируса C-648, и имеющие длину менее 2000 байтов, то для таких
файлов вирус показывает "сумашедшее" значение длины.
Исторические замечания. Вирус обнаружен в Москве в апреле 1990
г. Автором вируса, по-видимому, является техно-крыса, скрывающаяся
под псевдонимом Dark Avenger. Первым данный вирус исследовал
Д.Н.Лозинский. Обработка RCE-02000 включена в AIDSTEST в апреле
1990 г. (начиная с версии 29 от 18.04.90).
Неформальные названия. Полидетектор SCAN называет данный вирус
"V2000". Кроме приведенных в заголовке, используют еще название
Диана П. (в теле вируса содержится строка "Диана П.").
Программные средства защиты. Данный вирус детектируется полидетектором
SCAN. Рекомендуемые фаги приведены в прил.1. Выявление
поврежденных вирусом файлов можно выполнить с помощью глобального
контекстного поиска по диску, обеспечиваемого, например, PCTools.
Любые действия по анализу содержимого диска следует выполнять
только при условии предварительной загрузки операционной системы с
эталонной, защищенной по записи, дискеты.
Фрагмент дампа программы DUMY2008.COM,
зараженной вирусом RCE-02000
000: E935089090909090 9090909090909090 .5..............
010: 9090909090909090 9090909090909090 ................
7D0: 909090909090C31A 5A6F7079206D6520 ........Zopy me
7E0: 2D20492077616E74 20746F2074726176 - I want to trav
7F0: 656C000090511381 C6B5078CC383C310 el...Q..........
800: 2E035C022E899C96 F82E8B1C2E899C94 ..\.............
810: F88CC383C3102E03 5C068ED32E8B6404 ........\.....d.
820: EA00000000BF0001 81C6BD07A4A58B26 ...............&
830: 060033DB53FF64F5 E800005E81EE6300 ..3.S.d....^..c.
840: FC2EF69489072E81 BCBD074D5A740EFA ...........MZt..
850: 8BE681C4C008FB3B 26060073C8500656 .......;&..s.P.V
860: 1E8BFE33C0508ED8 C5164C00B430CD21 ...3.P....L..0.!
870: 2E8884120886C43D 1E03720CB413CD2F .......=..r..../
880: 1E52B413CD2F5A1F 2E8994A7072E8C9C .R.../Z.........
F00: 268B0E06002BFFBE 8907ACF2AE750D51 &....+.......u.Q
F10: 57B91100F3A65F59 75EDEBE4C6061308 W....._Yu.......
F20: 00EBC6E8AAFDB451 CD212BFF8BC74B13 .......Q.!+...K.
F30: D88EDB8B4503803D 5A72F43B7D0175A9 ....E..=Zr.;}.u.
F40: 438EC33D00107203 B80010B103D3E08B C..=..r.........
F50: C8F3ABEB94286329 2031393839206279 .....© 1989 by
F60: 2056657373656C69 6E20426F6E746368 Vesselin Bontch
F70: 65762E0080FC0375 0F80FA807305EA59 ev.....u....s..Y
F80: EC00F0EA26AF00F0 EA75013E140001A3 ....&....u."....
F90: 1490909090E90201 84A8A0ADA0208F2E ............. ..
FA0: 00558BECFF76069D .U...v..
5.5. Вирус RCE-1277 (Murphy — Мерфи)
Вирус RCE-1277 является очередным вирусом, разработанным в Болгарии,
и получил свое название в связи с тем, что в теле вируса
содержатся достаточно длинные текстовые строки:
Hello, I'm Murphy.
Nice to meet you friend.
I'm written since Nov/Dec.
Copywrite ©1989 by Lubo & Ian, Sofia, USM Laboratory.
Формально вирус RCE-1277 — файловый резидентный вирус, поражающий
как файлы типа СОМ, так и файлы типа EXE. Заражение происходит
как при запуске программ на выполнение, так и при открытии файлов
(21-3В, 21-4B, 21-6C). Вирус дописывает свое тело в конец файла.
Заражает командный процессор, если он не имеет атрибута READ
ONLY . Пораженный COMMAND.COM имеет размер 27107 байтов (если его
первоначальный размер был 25307 байтов). При этом не имеет значения,
где расположен командный процессор. Это связано с тем, что
вирус при инсталляции затирает часть копии командного процессора.
В результате он вызывается с диска, в процессе чего и происходит
заражение. Файлы, имеющие атрибут READ ONLY, вирус не заражает.
Проверка номера версии в теле вируса не выполняется. Тип файла определяется
вирусом правильно, независимо от используемого расширения.
Зараженные COM-файлы увеличиваются в размере на 1277 байтов,
причем дата их создания и атрибуты остаются неизменными. Заражение
выполняется однократно. При заражении вирус дописывает свое тело в
конец файла, вставляя в первые три байта команду перехода на начало
вируса. Выравнивания на границу параграфа для COM-файлов не выполняется.
Инфицируются COM-файлы длиной свыше 1277 (6Fh) байтов.
Заражение EXE-файлов выполняется путем дописывания тела вируса в
конец файла без предварительного выравнивания тела на границу параграфа.
При выполнении зараженной программы вирус проверяет наличие
своей копии в памяти и, если не находит, то становится резидентным
(используя манипуляции с MCB).
Через некоторое время после того, как вирус стал резидентным, в
динамике начинает раздаваться довольно неприятный высокочастотный
свист частотой около 12 Кгц.
В целом вирус производит впечатление не до конца отлаженного. В
частности, при попытке заражения защищенной от записи дискеты выдается
стандартное сообщение "Abort, Retry Є" Это связано с ошибкой
в обработчике прерывания 24h. По мнению Д.Н.Лозинского, заметен
плагиат из RCE-1800, причем без достаточного понимания функций
копируемых фрагментов.
Исторические замечания. Первое зарубежное описание данного
вируса приведено в списке П.Хоффман. По-видимому, RCE-1277 имеет
болгарское происхождение и написан сравнительно недавно (ноябрь/декабрь
1989 г.?). В Киеве первым вирус обнаружил А.Л.Шеховцов
(июнь 1990). Несколько позднее он был независимо выявлен в
Москве.
Неформальные названия. Помимо приведенного в заголовке, неизвестны.
Программные средства защиты. Детектирование возможно по приводимым
в прил.1 сигнатурам. Из программ, распространяемых бесплатно,
в качестве фага можно применять -V Е.Касперского или NEAFAG В.Пономаренко.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1277
000: E9FD079090909090 9090909090909090 ................
010: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
7F0: 090909090909090 9090909090909090 ................
+--- псевдоначало инсталлятора (первый переход)
+-----+
800:|E97E039090909090 9090909090909090 .~..............
810: 9090909090909090 9090900000000060 ...............`
820: 00F1042100000004 00050EC32B5605E3 ...!........+V..
830: 287A0F70007A0F70 002048656C6C6F2C (z.p.z.p. Hello,
840: 2049276D204D
...Закладка в соц.сетях
