Жанр: Учеба
Компьютерная вирусология ч. 1
...7572 7068792E204E6963 I'm Murphy. Nic
850: 6520746F206D6565 7420796F75206672 e to meet you fr
860: 69656E642E204927 6D20777269747465 iend. I'm writte
870: 6E2073696E636520 4E6F762F4465632E n since Nov/Dec.
880: 20436F7079777269 7465202863293139 Copywrite ©19
890: 3839206279204C75 626F20262049616E 89 by Lubo & Ian
8A0: 2C20536F6669612C 2055534D204C6162 , Sofia, USM Lab
8B0: 6F7261746F72792E 20E88F023D594B75 oratory. ...=YKu
8C0: 09558BEC836606FE 5DCF80FC4B74123D .U...f..]...Kt.=
8D0: 003D740D3D006C75 0580FB007403E9A5 .=t.=.lu....t...
8E0: 00061E5756555251 5350E8C9013D006C ...WVURQSP...=.l
8F0: 75028BD6B980008B F2468A040AC0E0F9 u........F......
900: 83EE02813C4F4D74 12813C58457403EB ...."OMt.."XEt..
910: 6990817CFE2E4574 09EBF4817CFE2E43 i..|..Et....|..C
920: 75EDB8023DE88701 72508BD8B80057E8 u...=...rP....W.
930: 7D012E890E21012E 89162301B8004233 }....!....#...B3
940: C933D2E869010E1F BA03018BF2B91800 .3..i...........
950: B43FE85A01720E81 3C4D5A7505E82B00 .?.Z.r.."MZu..+.
+------- J-сигнатура ----------+
| |
B80: C31EE80000B8594B CD217203E928015E| ......YK.!r..(.^
B90: 568BFE33C0501FC4 064C002E8984ACFC V..3.P...L......
BA0: 2E8C84AEFCC41E84 002E899DA4FC2E8C ................
BB0: 85A6FCA102013D00 F07569B280A10601 ......=..ui.....
BC0: 3D00F0741C80FCC8 725A80FCF47355A8 =..t....rZ...sU.
BD0: 7F75518ED8813E00 0055AA75478A1602 .uQ..."..U.uG...
CB0: 8600FBFE0E7B045E 2E81BC7EFC4D5A75 .....{.^...~.MZu
CC0: 1D1F2E8B849AFC2E 8B9C98FC0E592BC8 .............Y+.
CD0: 03CB512EFFB496FC 1E07E895FECB582E ..Q...........X.
CE0: 8B847EFC2EA30001 2E8B8480FC2EA302 ..~.............
CF0: 01B80001500E1F1E 07E876FEC3 ....P.....v..
5.6. Группа "второй половины таблицы прерываний"
Данная группа включает два вируса, которые при заражении оперативной
памяти размещают свое тело во второй половине таблицы прерываний.
Очевидно, что такое размещение накладывает жесткие ограничения
на размер вируса и выполняемые функции. Из-за ограничения
длины возможно заражение только одного типа файлов (обычно типа
СОМ) с записью вируса в хвост файла.
5.6.1. Вирус RC-492 (sI)
Неформальное название sI связано с тем, что со смещением 3 от
начала зараженной программы стоят байты "sI", служащие для
опознания вирусом зараженных им программ. Формально, данный вирус
является резидентным файловым вирусом, заражающим COM-файлы при
запуске их на выполнение. Код вируса содержит много ошибок и неточностей.
Длина вируса 492 байта (1ECh). Вирус работоспособен
только на компьютерах серии AT. Это связано с наличием команд, отсутствующих
в микропроцессоре 8088/8086. Проверка версии MS DOS в
теле вируса отсутствует. Зависимости работоспособности вируса от
версии MS DOS не обнаружено.
Стратегия заражения — при запуске файлов на выполнение. Файлы
заражаются однократно. При заражении выполняется выравнивание на
границу параграфа. Максимальная длина заражаемого файла не проверяется,
поэтому вирус уничтожает файлы, длина которых после заражения
превысит 64К. Как уже указывалось, в качестве признака зараженности
файла, вирус использует приведенную выше строку "sI". При
запуске зараженной программы вирус ищет в главном каталоге диска С
файл с именем COMMAND.COM и, если он будет найден, пытается его
заразить.
При заражении RС-492 дописывается в конец программы и одновременно
вставляет в первые три байта COM-файла команду перехода на
тело вируса. При этом размер файла увеличивается на 492 + байты
выравнивания (в качестве байтов выравнивания вирус вставляет нули).
Из-за ошибки в теле вируса файлы с длиной, кратной 16, заражаются
с вставкой 16 нулей "для выравнивания". Дата создания файла
изменяется на дату заражения до тех пор, пока количество запусков
с момента заражения не станет равным 256. Длина исходной программы
вирусом не сохраняется. Атрибуты файла не проверяются, поэтому вирус
не заражает файлы с атрибутами READ-ONLY. Вирус RC-492 не проверяет,
находится заражаемая программа (которая загружается на выполнение)
на защищенной дискете или нет, и пытается выполнить запись
на защищенную от записи дискету. При этом операционная система
выдает сообщение:
Write protect error writing device "лог.имя.устр."
Abort, Retry, Ignore, Fail?
Вирус использует "гибридную" стратегию заражения, в которой
сочетаются методы, характерные для нерезидентного вируса с
методами, характерными для резидентного вируса. Как уже отмечалось,
получив управление, вирус сначала пытается заразить файл
COMMAND.COM в корневом каталоге — стратегия, характерная в основном
для нерезидентных вирусов. Вместе с тем, став резидентным, вирус
перехватывает прерывание 1С и 21 и заражает программы, запускаемые
на выполнение.
Отличительной особенностью данного вируса является то, что в
оперативной памяти его тело располагается в области второй половины
векторов прерываний (0000:200h — 0000:03FFh). Это может приводить
к зависанию компьютера при инсталляции вируса, если к этому
моменту одна из резидентных программ использует какой-нибудь из
затираемых векторов прерываний.
При запуске зараженной программы RС-492 сначала проверяет с помощью
прерывания 21-35, имеется ли уже резидентная копия данного
вируса (по значению адреса обработчика прерывания 1С). Если условие
зараженности оперативной памяти выполнено, то вирус передает
управление зараженной программе, в противном случае он приступает
к поиску и заражению COMMAND.COM в главном каталоге диска С. Затем
вирус становится резидентным и перехватывает прерывания 1Ch и 21h.
В результате при запуске любой программы вирус получает управление,
проверяет, является ли запускаемая программа зараженной, и
если нет, то заражает данную программу на диске. У зараженного
файла изменены значения первых 6 байтов (организуется переход на
начало тела и признак зараженности файла).
Фаза проявления данного вируса в настоящее время еще не ясна.
Есть основания считать, что прерывание 1Ch используется вирусом
для выбора момента уничтожения информации в выбираемых случайным
образом последовательных секторах диска С (похоже, записывается
четное число секторов — 2,4,6). В указанные сектора записывается
информация из оперативной памяти компьютера. По мнению Д.Н.Лозинского,
есть надежда, что данный фрагмент содержит ошибку и такой
момент никогда не наступает. Код вируса RC-492 не содержит приемов,
затрудняющих дизассемблирование и анализ программы.
Исторические замечания. Данный вирус появился в СССР в июле 1990
г. Впервые был выделен автором в ВЦ АН СССР (Mосква) 19 июля 1990
г. и, независимо, Д.Н.Лозинским. B Киеве не отмечался. Первыми
фагами для данного вируса были -V (Е. Касперского) и NEATFAG (В.
Пономарентко).
Неформальные названия. sI (строка "sI" расположена со смещением
3 от начала зараженной программы)
Программные средства защиты. Доступные версии полидетектора
SCAN (до 66, включительно) данный вирус не обнаруживают. Фаги см.
прил.1. При использовании системы управления доступом к винчестеру
(Disk Manager, Advanced Disk Manager и т.д.) вирус не в состоянии
попасть в разделы винчестера, для которых установлен статус READ
ONLY. Однако при этом становится невозможным вызов программ с защищенной
дискеты или раздела винчестера. Специальные средства защиты
от данного вируса принципиально могут включать детектор, фаг
для резидентной части, резидентный и пакетный фаги для зараженных
файлов и активную (резидентную) вакцину.
Фрагмент дампа программы DUMY16.COM,
зараженной вирусом RC-492
000: E91D007349FF9090 90909090909090C3 ...sI...........
010: 0000000000000000 0000000000000000 ................
020: 2E8B1E010183C303 B104D3EB8CD803C3 ................
030: 8ED82EA1B001A38C 02BE6F01BF0001FC ..........o.....
040: B90600F3A4B81C35 CD2181FB45027508 .......5.!..E.u.
050: 0E0E1F07680001C3 B810008EC0B90002 ....h...........
060: BF00018BF7F3A406 1EBA7501E835001F ..........u..5..
070: B81C25BA4502CD21 B82135CD21891E8E ..%.E..!.!5.!...
080: 028C069002BA9202 B82125CD21EBC190 .........!%.!...
090: 9090909090433A5C 434F4D4D414E442E .....C:\COMMAND.
0A0: 434F4D00B43DB002 CD215B1F537303E9 COM..=...![.Ss..
0B0: 91008BD8B43FB906 00BA6F01CD21727F .....?....o..!r.
0C0: 813E720173497455 813E6F014D5A746F ."r.sItU."o.MZto
0D0: B80242B90000BA00 00CD2172628BC883 ..B.......!rb...
0E0: C90F83E902890E25 0283C1032BC8BA2A .......%....+..*
0F0: 02B440CD217248B4 40B9EC01BA0001CD ..@.!rH.@.......
100: 21CC3CB80042B900 00BA0000CD21722F !."..B.......!r/
1E0: 040083EF018BF7BF 8301ACE86CFFAE74 ............l..t
1F0: 03EB0B90E2F41F5A 521E0EE8A6FE1F5A .......ZR......Z
200: 075D5F5E595B582E FF2E8E02 .]_^Y[X.....
5.6.2. Вирус RC-488
(Flu-2 — Грипп-2, LoveChild — Внебрачный ребенок)
Неформальное название данного вируса связано с тем, что в теле
вируса имеются текстовые строки "v2 © Flu Systems (R)" и
"LoveChild in reward for software sealing". Формально RC-488 является
файловым резидентным вирусом, заражающим COM-файлы. Длина вируса
488 (1E8h) байтов совпадает с приращением при заражении. Файлы
заражаются однократно. Командный процессор заражается как обычный
COM-файл.
При заражении COM-файлов вирус дописывает себя в конец, изменяя
первые четыре байта. Файлы заражаются при их загрузке в память,
при открытии и создании (21-3C, 21-3D, 21-4B и 21-5B). При заражении
длина файлов не проверяется.
При инсталляции записывает свое тело во вторую половину таблицы
векторов прерываний, начиная с адреса 0000:01E0h. Проверяет версию
операционной системы. Для версии 3.3 умеет определять "истинные"
адреса 21 и 13 прерываний. Для получения управления по 21 прерыванию
использует сплайсинг. Обработка 13 прерывания сводится к замене
адреса его обработчика на первоначальное значение, что "отрубает"
сторожа, следящие за этим прерыванием, как, впрочем, и драйверы
типа 800, обеспечивающие нестандартные форматы записи на дискеты.
Фаза проявления наступает при определенных значениях счетчика
времени. При этом вирус либо уничтожает файлы, либо создает вместо
файла подкаталог с таким же именем. Кроме того, вирус может модифицировать
COM-файлы таким образом, что их запуск вызовет стирание
секторов винчестера (стирается вся информация, расположенная на
всех секторах, соответствующих 0-3 головкам записи/чтения).
Исторические замечания. Судя по текстовым строкам, RC-488 имеет
зарубежное происхождение, однако в доступной автору версии списка
П.Хоффман, датированном 10.10.90, описание этого вируса отсутствует.
В СССР появился примерно в августе 1990 г. Автору был передан
Е.Касперским. B Киеве не отмечался.
Неформальные названия. Помимо приведенных выше, неизвестны.
Программные средства защиты. Полифаг Aidstest, начиная с версии
45. Детектирование возможно по сигнатурам, приведенным в прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом RC-488
000: FBE9F200B402B207 CD21CD2000000000 .........!. ....
010: 0000000000000000 0000000000000000 ................
*** далее следуют строки, идентичные предыдущей ***
0E0: 7632202863292046 6C75205379737465 v2 © Flu Syste
0F0: 6D732028522933C0 8EC0E800005E8BEE ms (R)3......^..
100: BFE001FC26813D76 32744881EE1D00B9 ....&.=v2tH.....
110: E801F3A4B430CD21 3D031E7527BE7000 .....0.!=..u'.p.
120: 8EDEBEB400BF4C00 A5A5B80312CD2F26 ......L......./&
130: 8C1EC803BE6014C6 04EA8C4403C74401 .....`.....D..D.
140: CD02EB0F061FBE84 00A5A58C44FEC744 ............D..D
150: FCCD028CC88EC08E D8BF00018BF581C6 ................
160: 6E00A5A533C083EF 04FFE790909090FB n...3...........
170: E90000B003CFB901 00BA80038BD9B810 ................
180: 03CD13FECE79F7B6 03FEC5EBF14C6F76 .....y.......Lov
190: 654368696C642069 6E20726577617264 eChild in reward
1A0: 20666F7220736F66 7477617265207365 for software se
1B0: 616C696E672E2EF6 066C0407750A1F5A aling....l..u..Z
1C0: 595B58B441E9FD00 E9EE0088132EFF0E Y[X.A...........
1D0: CB027803E9EE002E FF06CB0280FC4075 ..x...........@u
1E0: 24578BFA813D4D5A 751A2EF6066C0406 $W...=MZu....l..
2B0: B440CD215BB43ECD 212EC706CB02FFFF .@.
Как и другие продукты человеческой деятельности, компьютерные
вирусы претерпевают определенную эволюцию, которая в значительной
степени облегчается тем, что в течении значительного отрезка времени
среда их размножения (MS DOS) остается практически неизменной.
Если попытаться квантовать наблюдаемые непрерывные эволюционные
изменения, то можно говорить о поколениях компьютерных вирусов.
Понятие поколения компьютерного вируса связано, в основном, с
механизмом размножения и методами маскировки. Наблюдаемый сейчас в
ряде публикаций акцент на проявлениях того или иного вируса является
неверным: по сути вирус можно разделить на две достаточно независимые
части: компоненту размножения и компоненту проявления.
При этом именно характеристики компоненты размножения являются основными
и определяют место конкретного вируса "в эволюционной цепочке".
В то же время популярная пресса акцентирует внимание на
компоненте проявления, что видно хотя бы из распространенности неформальных
названий типа Тринадцатая пятница, День Колумба, Воскресенье,
Пинг-Понг и т.д. Если провести аналогию с авиацией, то
компонента размножения соответствует самому летательному аппарату,
а компонента проявления — полезной нагрузке. Очевидно, что один и
тот же самолет может доставлять и бомбы и листовки.
Компонента размножения должна обеспечить две основные функции:
получить управление с тем, чтобы обеспечить репликацию вируса; избежать
обнаружения, чтобы выжить и выполнить предыдущий пункт.
Важность этих двух функций изменяется в ходе эволюции. На первом
этапе эволюции вирусов основной является репликация. При этом вопросам
маскировки либо вообще не уделялось внимание, либо они носили
несистематический характер и были направлены на маскировку одного
или двух изменений, возникающих в зараженной программе или
системе. Этому этапу эволюции соответствует первое поколение вирусов
— вирусы, не рассчитанные на преодоление антивирусных средств.
С распространением антивирусных средств вопросы маскировки стали
основными, и вирусу для того, чтобы выжить, важно как можно дольше
остаться незамеченным. В связи с этим основные усилия при разработке
стали направляться именно на маскировку. В результате маскировка
приобрела комплексный характер и соответствующие вирусы можно
условно относить к новому поколению вирусов, получившему название
стелс-вирусов. Действия по маскировке можно условно классифицировать
на следующие категории: a (automodification) — автомодификация
инсталлятора с целью затруднить обнаружение детекторами,
основанными на контекстном поиске; с (cipher) — шифровка части
программы, исключая часть инсталлятора; d (antiDebugging
tricks) — защита от трассировки; e (enter point) — сохранение
точки входа в EXE-программах; f (fag) — самоизлечивается при попытке
просмотра зараженной программы при резидентном вирусе;
h (hook) — не обнаруживается сторожами типа FluShot+, контролирующими
состояние векторов прерывания; i (increment) — имплантация
тела в программу без увеличения размеров файла; j (jump) — сохранение
первого перехода в COM-файлах; l (length) — маскировка увеличения
длины зараженных файлов, путем подмены значения соответствующего
поля элемента оглавления при операциях FindFirst и
FindNext (21-11h и 21-12h) с предварительным вычитанием длины вируса
(при этом утилиты, которые не используют указанные функции
DOS, работая с каталогами непосредственно (например Norton
Commander), будут показывать увеличенную длину, а команда DIR --
уменьшенную); m (memory map) — не обнаруживается системными средствами
просмотра списка резидентных программ; о (overlay) — сегментация
тела вируса на несколько подгружаемых частей; р
(polyinfection) — заражение как файлов, так и исполняемых системных
блоков (бутсектор, MBR); r (redirection) — перехват и модификация
дисковых операций с целью скрыть изменения в исполняемых
блоках (бутсектор, MBR); s (space) — корректировка резидентным вирусом
общего объема свободной памяти на диске с целью скрыть его
изменение в результате заражения вирусом программ; t (text) — шифровка
текстовых сообщений.
Здесь приведены только приемы, которые уже были использованы в
том или ином существующем вирусе, однако могут существовать и другие
эффективные приемы маскировки. Конечно, граница между указанными
двумя поколениями условна и некоторые исследователи относят к
стелс-вирусам любой вирус, который использует хотя бы два из приведенных
выше методов маскировки. Автору кажется, что критерий
должен быть несколько жестче. Ниже приведены описания двух вирусов,
которые, по мнению автора, можно отнести к новому поколению.
5.7.1. RCE-04096 (Frodo — Фродо, 4096)
Данный вирус принято считать первым стелс-вирусом. RCE-04096 был
разработан, по-видимому, в Израиле в конце 1989 г. Название "Фродо"
связано с тем, что вирус содержит бутсектор в своем коде, хотя
он никогда не записывает свое тело в бутсектор. При записи этого
бутсектора в бутсектор дискеты и попытке загрузки выдается "плакатный
текст"
FRODO
LIVES
("Фродо живет" или "Фродо жив"), выполненный буквами 8*5,
состоящими из символов псевдографики. По данным П.Хоффман, 22 сентября
это день рождения героев известной сказочной трилогии
Дж.Р.Толкиена Властелин колец" (Lord Of The Rings) — Бильбо и
Фродо Баггинов (Bilbo and Frodo Baggin) [Толкиен83].
Формально данный вирус относится к файловым резидентным вирусам.
Заражает как COM-, так и EXE-файлы (включая оверлеи) при запуске
на выполнение или закрытии файла (функции 21-4B или 21-3E). Файлы
заражаются однократно. В качестве признака заражения используется
значение поля года даты создания файла. Для зараженных файлов вирус
изменяет поле года создания файла, увеличивая его на сто, например
с 1990 до 2090. В дальнейшем это значение используется для
определения зараженности файла. Возможно заражение файлов, содержащих
данные. Приращение длины при заражении всегда равно 4096
байт, что объясняет такие неформальные названия, как 4096 и 4K.
Заражает COM-файлы длиной до 61440 (F000h) байт. При заражении
изменяет первые шесть байт файла. Выполняется выравнивание до параграфа.
При этом приращение длины файла равно ровно 4096 байт.
Командный процессор заражается как обычный COM-файл.
Заражаемые EXE-файлы могут иметь любую длину. При заражении изменяется
заголовок. Тело вируса дописывается в хвост файла. Длина
зараженного EXE-файла увеличивается ровно на 4096 байт.
При инсталляции находит по COMSPEC и заражает COMMAND.COM. Затем
загружает себя в старшие адреса памяти, уменьшая размер на 6К. При
этом, возможно, каким-то образом маскирует уменьшение системной
памяти на 6К. Для определения положения обработчиков 13 и 21 прерываний
вирус проходит при инсталляции соответствующую часть кода
с флагом трассировки (как музыкальные самоеды). Для получения управления
по 21 прерыванию вирус использует сплайсинг ("врезку" в
обработчик прерывания). Это первый вирус, использующий сплайсинг
для получения управления по прерыванию 21.
Тело вируса располагается в оперативной памяти в старших адресах.
Память резервируется путем манипуляций с MCB. В дальнейшем
положение тела может измениться: вирус способен перемещать свое
тело в область младших адресов. RCE-04096 обрабатывает порядка 20
(двадцати !) функций MS DOS (Create, FindFirst, FindNext, Read,
Write, Lseek, Open, Close, Exec и некоторые другие).
При наличии вируса в оперативной памяти приращение длины зараженных
файлов маскируется и не видно при просмотре оглавления командой
DIR. Этот эффект обеспечен за счет перехвата операций, используемых
командой DIR для считывания элементов каталога и вычитания
4К из длины зараженных файлов. Первым такой метод маскировки
был использован в вирусе RCE-02000. Более того RCE-04096 маскирует
и изменение заголовка.
Любая попытка доступа к зараженному файлу, за исключением выполнения
на зараженной машине ведет к "выкусыванию" тела вируса из
зараженного файла. Например, при чтении зараженного файла или загрузке
его в память, вирус "подставляет" файл в незараженном виде.
При открытии файла для записи вирус "выкусывает" свое тело из зараженного
файла (поскольку запись в файл может повредить тело вируса
или "загнать" его в середину файла), а затем снова заражает
при закрытии.
Описанный механизм обеспечивает обход детектирования заражения с
помощью ревизоров. Таким образом, данный вирус является первым вирусом,
обходящим данный класс антивирусных программ. Если при копировании
выполняемого файла создается файл с расширением, не используемым
для исполняемых файлов (COM, EXE, BIN, SYS и т.д.), то
вирус "выкусывает" свое тело при копировании.
При кодировании вируса использованы достаточно сложные приемы,
затрудняющие трассировку. Из-за ошибки при кодировании вирус повреждает
некоторые файлы при заражении: после заражения не обновляет
информацию в заголовке файла. При запуске таких файлов MS DOS
выдает диагностическое сообщение "ERROR in EXE File". Такие повреждения
можно устранить запустив CHKDSK/F, а затем соответствующий
фаг. Как уже отмечалось, вирус иногда заражает файлы данных.
Они могут быть восстановлены с помощью соответствующего фага.
Фаза проявления в имеющихся экземплярах вируса стерта в связи с
недостаточным размером памяти, отведенным под стек. Учитывая наличие
в теле вируса загрузчика, выдающего сообщение "Фродо жив", логично
предположить, что она связана с записью в бутсектор этого
загрузчика. В результате первая же перезагрузка приведет к выдаче
на экран приведенного выше сообщения. Однако реально после 22 сентября
1990 запуск любой зараженной программы вызывает зависание
операционной системы (вирус зацикливается), создавая впечатление
машинной неисправности. По данным П.Хоффман вирус также медленно
"сращивает" файлы на диске. Для этой цели вирус манипулирует FAT,
изменяя количество свободных секторов. Пользователь, использующий
команду CHKDSK/F, обнаруживает, что файлы имеют потерянные кластеры
или кластеры, принадлежащие двум файлам одновременно. Это проявление
выглядит как машинная неисправность.
Все авторы публикаций, включающих описание данного вируса, сходятся
в том, что вирус написан техно-крысой, хорошо знающей "внутренности"
операционной системы и алгоритмы работы антивирусных
программ. Странно, что программист такого уровня не нашел ничего
лучшего для приложения собственных способностей, как написание вируса.
Исторические замечания. Вирус RCE-4096 был обнаружен в Израиле в
октябре 1989 г. В СССР обнаружен Д.Н.Лозинским в августе 1990 г.
Существует штамм 4096-B, аналогичный описанному, но использующий
шифровку своего тела.
Неформальные названия. Среди неформальных названий следует
отметить следующие: 4096, 4K, 100 Years virus ( 100 лет), Century
virus (столетие), Hiding (Прячущийся), IDF Virus (ИДФ-вирус),
Stealth Virus (Стелс вирус).
Методы и программные средства защиты. Данный вирус диагностируется
полидетектором SCAN. Для визуального обнаружения можно использовать
год создания файла (у зараженных файлов увеличен на
100). Для этой цели можно просмотреть оглавление с помощью Turbo
C++ (единственная известная автору оболочка, показывающая год
создания файла полностью) или дамп кластеров с каталогами с помощью
Norton Utilities (в DIR и в Norton Commander видны только
две последние цифры года). Рекомендуемые фаги приведены в прил.1.
При отсутствии фага для "выкусывания" можно использовать упоминавшийся
эффект, связанный с тем, что при копировании выполняемого
файла в файл с расширением, отличным от исполняемых (COM, EXE,
BIN, SYS и т.д.) резидентный вирус выполняет "выкусывание" своего
тела из файла. Для этой цели при резидентном вирусе можно свернуть
зараженные файлы в архив, а затем после перезагрузки с защищенной
дискеты, содержащей эталонную операционную систему, скопировать их
обратно. Другим вариантом является копирование с переименованием
расширения, например EXE в TTT, а COM в YYY.
Неясно, является ли увеличение года достаточным признаком зараженности
файла, или вирус проверяет еще какие-то поля. Если этот
признак достаточен, то возможна пассивная вакцинация файлов путем
увеличения значения года создания на 100, как это делалось с секундами
создания файла при вакцинации от вируса C-648. Кроме того,
возможно создание резидентной вакцины, обеспечивающей увеличение
значения поля года при считывании элемента каталога.
5.7.2. Вирус RC-0-512 (512, 666)
Данный вирус имеет размер, совпадающий с типичным размером сектора
в MS DOS и использует специальный метод размножения, напоминающий
метод размножения бутовых вирусов. Вирус содержит текстовую
строку 666 в конце тела, поэтому его иногда называю
...Закладка в соц.сетях
