Жанр: Учеба
Компьютерная вирусология ч. 1
...ается
от длины нормального. При запуске командного процессора вирус
получает управление и становится резидентным, перехватывая
прерывание 21. При возникновении прерывания 21, вирус
перехватывает запросы "выполнить программу" и "найти первый файл".
При обработке этих запросов вирус сначала определяет, содержит ли
диск COMMAND.COM. Если да, то он заражает COMMAND.COM диска, к
которому идет обращение, и увеличивает спецциальный счетчик. Если
винчестер отсутствует, то счетчик хранится в оперативной памяти,
иначе є записывается на диск. Таким образом, перезагрузка
сбрасывает счетчик на ПЭВМ без винчестера, в то время как на ПЭВМ
с винчестером значение счетчика сохраняется. При достижении
счетчиком значения 4 вирус, используя прерывание 26, обнуляет
первые 32 сектора того диска, с которого он был загружен.
Обнаружение данного вируса упрощается в связи с тем, что при
заражении вирус изменяет дату создания файла. Кроме того, вирус не
проверяет, защищен диск от записи или нет и не снимает атрибут
READ ONLY. Поэтому, если COMMAND.COM имеет этот атрибут, то вирус
в него не попадет (не исключено, что в некоторых штаммах данного
вируса эти "недостатки" устранены).
Исторические замечания. Данный вирус является одним из первых
вирусов-вандалов. Он был обнаружен в студенческими консультатами
Вычислительного центра Лехайского университета (Lehigh university,
Bethlehem, США) в ноябре 1987 г.[Wyk89]. Они обратили внимание,
что начиная с 18.10.87 пользователи начали в массовом порядке
возвращать выданные им дискеты, заявляя что они дефектны. Хотя в
условиях интенсивной эксплуатации дискеты характерной для
университета последние иногда становятся сбойными из-за
физического износа, плохо отрегулированного дисковода или
попадания грязи, скорость возврата дискет нарастала настолько
заметно, что было решено проанализировать ситуацию. В результате и
был выявлен Лехайский вирус. Фактически это первый файловый вирус,
распространение которого приняло характер эпидемии. Возможно
существуют два штамма, один не увеличивает длину зараженного
COMMAND.COM, а другой увеличивает ее на 20 байт. В СССР явно не
отмечался. Излагаемые сведения опираются на информацию в
зарубежных печатных изданиях.
Методы и программные средства защиты. Данный вирус
диагностируется полидетектором SCAN. Вирус ищет файл с командным
процесором по имени, а не по COMSPEC, поэтому изменение имени
командного процессора защищает командный процессор от заражения.
Как уже указывалось, базисная версия вируса не сбрасывает атрибут
READ ONLY, поэтому если командный процессор защищен этим
атрибутом, то он заражаться не будет. Поскольку вирус является
резидентным возможно создание резидентной вакцины. Вместо
использования фага проще переписать командный процессор заново с
дистрибутивной копии операционной системы.
6.5.2. Вирус dBASE
Вирус представляет интерес как представитель класса вирусов,
направленных на модификацию данных. Он использует достаточно
изощренную схему изменения DBF-файлов, причем при резидентном
вирусе внесенные изменения маскируются. Формально вирус dBASE
является резидентным файловым вирусом, который перехватывает
прерывание 21 и ждет попытки открытия файла с расширением DBF. При
этом вирус запоминает управляющий блок файла (file handle) и
текущую длину файла с расширением DBF. Любая последующая операция
по записи в этот файл искажается вирусом таким образом, что первые
два байта записываемого блока меняются местами. При последующих
операциях чтения вирус восстанавливает первоначальное положение
этих байтов, так что до тех пор, пока вирус является резидентным,
вся информация читается правильно. Через 90 дней вирус разрушает
FAT. При восстановлениии с архивных копий пользователь
обнаруживает, что данные в них искажены. Вирус dBASE создает
специальный файл с атрибутом HIDDEN, называемый BUG.DAT, в котором
хранится информация о том, какие записи файла (записывается
смещение в байтах) имеют переставленные байты. Для каждого
каталога, содержащего DBF-файлы, создается свой скрытый файл
BUG.DAT.
Исторические замечания. Данный вирус описан в 1989 г. в журнале
BYTE в статье Р.Гринберга [Greenberg89]. В СССР случаи заражения
не отмечались.
Методы и программные средства защиты. При работе с файлом
BUG.DAT вирус не проверяет установку атрибута READ ONLY. Поэтому,
если создать искуственный файл с таким атрибутом, то вирус не
сможет записать в него информацию и тем самым повредить DBF-файлы.
6.5.3. Screen Virus - "экранный" вирус
Данный вирус также является резидентным и, как и вирус dBASE,
выполняет перестановки байтов. Он перехватывает прерывание от
таймера и каждые несколько минут, начиная со случайной позиции
последовательно сканирует память видеоадаптера. Если вирус находит
четыре последовательные цифры, то он переставляет местами две из
них. Вирус повторно-заражает СОМ-файлы. При первом запуске
зараженной программы инсталлятор вируса перед тем, как сделать код
вируса резидентным, заражает все подходящие файлы в текущем
каталоге, включая и файл, содержащий запускаемую программу, если
последняя находится в текущем каталоге.
Исторические замечания. Данный вирус описан в 1989 г. в журнале
BYTE в статье Р.Гринберга [Greenberg89].
Методы и программные средства защиты. Вирус содержит ASCIIстроку
"InFeCt" (с указанным сочетанием больших и маленьких букв).
Непоредственно перед этой строкой располаются четыре байта
оригинальной программы, замененные вирусом. Эти байты можно
вручную переставить в начало программы или написать
соответствующий фаг.
6.5.4. Группа первоапрельских вирусов
Данная группа, по видимому, является историческим
предшественником иерусалимской группы и, возможно, принадлежит
тому же автору. В нее входят вирусы RC-897 и RE-1488.
6.5.4.1. Вирус RC-897
(SURIV 1 - Сурив 1, April First - Первое апреля)
Резидентный файловый вирус, заражающий COM-файлы при запуске их
на выполнние. При заражении очередного файла выдает на экран
сообщение
YOU HAVE A VIRUS. а первого апреля выдает сообщение
HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS
(1 апреля ха-ха-ха. У Вас вирус) и вызывает зависание системы.
Исторические замечания. Вирус разработан в Израиле в 1987 году и
относится к ранним представителям иерусалимской группы.
Методы и программные средства защиты. Данный вирус
диагностируется полидетектором SCAN. "Выкусывается" полифагом
CLEANUP, а также полифагом Antivir (версия 3.0 1988),
разработанным D.Hoppenrath.
6.5.4.2. Вирус RE-1488 (SURIV 2 - Сурив 2,
April First - Первое апреля, Jerusalem D - Иерусалим Д)
Штамм, заражающий EXE-файлы. Проявляется 1 апреля и после
определенного времени работы на компьютере, выдавая сообщение
HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS.
(1 апреля ха-ха-ха. У Вас вирус)
При этом зависание системы приводит к потере информации при
редактировании или других аналогичных работах.
Исторические замечания. Вирус разработан в Израиле в 1987 году и
относится к ранним представителям иерусалимской группы.
Методы и программные средства защиты. Данный вирус
диагностируется полидетектором SCAN. "Выкусывается" полифагом
CLEANUP, а также полифагом Antivir (версия 3.0 1988),
разработанным D.Hoppenrath.
6.5.5. Группа Datacrime (Дейтакрайм)
Данная группа появилась в США в 1989 г. В настоящее время
состоит из трех штаммов длиной 1168 (Datacrime), 1280 (DatacrimeII)
и 1514 (Datacrime-IIb) байтов. При этом первые два штамма
заражают только файлы типа COM, а штамм Datacrime-IIb - как файлы
типа COM, так и файлы типа EXE. Стадия проявления для данного
вируса наступает ежегодно после 12 октября (день открытия Америки,
День Колумба). Перед поиском файла-жертвы, вирус проверяет текущую
дату. Если дата больше 12 октября и компьютер имеет винчестер, то
вирус дешифрует и выдает на экран сообщение:
DATACRIME VIRUS
RELEASED: 1 MARCH 1989
При этом вирус форматирует первые восемь дорожек нулевого
цилиндра диска С, уничтожая MBR, бутсектор, FAT и главный каталог.
После этого вирус зацикливается, выдавая в этом бесконечном цикле
символ BELL (звуковой сигнал). Это еще раз подчеркивает
необходимость резервирования первых треков при каждой загрузке в
специальный файл, расположенный в фиксированном месте диска или
использования для этой цели программы MIRROR из пакета PC SHELL.
По данным H.J.Highland [158], который до 1990 г. был главным
редактором журнала Computers & Security, автор вируса предпринял
некоторые меры маскировки. Вирусы, входящие в данную группу, не
заражают файлы, седьмой символ имени которых равен "D", и в
частности, файл COMMAND.COM. Как уже указывалось, содержащееся в
теле вируса текстовое сообщение шифруется с помощью команды XOR.
Дешифровка выполняется непосредственно перед выдачей сообщения на
экран, т.е. перед срабатыванием троянской компоненты. При поиске
зараженных файлов вирус просматривает корневой каталог и все
подкаталоги винчестера. Если файлов-жертв там не обнаружено, то
выполняется просмотр диска A, а затем диска B.
6.5.5.1. Вирус E-1168 (Datacrime B - Дейтакрайм B, 11168,
Columbus Day - День Колумба)
Данный вирус является нерезидентным файловым вирусом, заражающим
COM-файлы. При заражении дописывает себя в конец файла, увеличивая
длину на 1168 байтов и заменяя первые пять байтов зараженной
программы на команду перехода к началу вируса. Вирус размножается
с 1 апреля по 12 октября любого года. До 1 апреля вирус находится
в латеном состоянии и при запуске зараженных файлов сразу передает
управление вирусоносителю. Стратегия размножения основана на
просмотре каталогов и заражении всех найденных COM-файлов, кроме
тех, которые имеют в качестве седьмой буквы имени букву D. Сначала
просматриваются разделы винчестера, а затем дисководы с дискетами.
Из-за ошибок в коде заражаются не все файлы, создавая впечатление
случайного вибора. Возможно зависание системы в процессе
заражения.
При выполнении зараженного файла после 12 октября любого года
вирус выдает приведенное выше сообщение (зашифровано в теле
вируса) и выполняет низкоуровневое форматирование жесткого диска.
Для PC/AT, а также систем c контроллерами типа RLL или SCSI
алгоритм запуска низкоуровневого форматирования неработоспособен.
Исторические замечания. Данный вирус обнаружен в мае 1989 г. в
Европе. Это связано с тем, что фаза распространения и фаза
проявления этого вируса отделены периодом в десять месяцев. По
некоторым данным, вирус разработан в Голландии. Судя по выдаваемой
надписи, время разработки относится в началу 1989 г. а начало
распространения - к марту 1989 г. Случаи заражения отмечались в
США уже летом того же года. В настоящее время практически
полностью уничтожен. В СССР явно не отмечался, однако, учитывая
его европейское происхождение, рекомендуется проверять
программного обеспечения на зараженность вирусами данной группы в
сентябре текущего года.
Методы и программные средства защиты. Диагностируется
полидетектором SCAN.
6.5.5.2. Вирус E-1280 (Datacrime B - Дейтакрайм B, 1280, Columbus
Day - День Колумба)
Штамм, заражающий только файлы типа EXE и способный
форматировать винчестер с контроллерами типа RLL или MFM.
6.5.5.3. Вирус СЕ-1514
(Datacrime II - Дейтакрайм, 1514, Columbus Day - День Колумба)
Штамм, заражающий как COM-, так и EXE-файлы. Тело вируса
зашифровано. В отличие от предыдущего не пытается форматировать
винчестер.
6.5.5.4. Вирус СЕ-1917 (Datacrime IIB - Дейтакрайм IIB , 1917,
Columbus Day - День Колумба)
Штамм, обнаруженный в ноябре 1989 года. Пытается форматировать
диск в любой день после 12 октября, кроме понедельника. Метод
шифровки тела изменен.
6.6. Мифические файловые вирусы
"Мы рождены, чтоб сказку сделать былью..."
Из популярной песни 30-х годов
6.6.1. Вирус Cookie, Cookie Monster - Печенье
Данная легенда основана на демонстрационном вирусе,
действительно существовавшем на компьютерах с микропроцессором
8080 или Apple II. Или, возможно, вирус полностью уничтожен и
относится к "ископаемым" вирусам. Название данного вируса связано
с персонажем популярной в США детской телевизионной программы
SESAME STREET. Проявление этого вируса связано с выдачей на экран
сообщения
I WANT COOKIE
(я хочу печенья)
Только ввод с клавиатуры слова COOKIE позволяет продолжить
работу с программой. Вводом тайного пароля "OREO" можно "усыпить"
вирус на несколько недель. В некоторых вариантах легенды вирус
стирает файлы при неправильном ответе или слишком длительной
задержке с ответом.
Исторические замечания. В файле П.Хоффман не описан.
Методы и программные средства защиты. Как ни странно, но для
данного вируса имеется фаг (может быть, это шутка) - вирус
диагностируется и выкусывается полифагом Antivir (версия 3.0
1988), разработанным D.Hoppenrath.
6.6.2. Вирус, заражающий обьектные библиотеки
Автором легенды является А.А.Чижов. В статье [Чижов88] он
неосторожно высказал собственную идею о вирусе, внедряющемся в
библиотеку обьектных модулей компилятора. Соответствующий текст
представляет исторический интерес:
"3. Вирус в обьектной библиотеке. Вирус, прикрепленный к
обьектной библиотеке какого-либо компилятора, - наиболее
изощренный вид вируса. Такой вирус автоматически внедряется в
любую программу, составленную программистом, работающим с
зараженной библиотекой.
Внедряется вирус в библиотеку следующим способом. В обьектную
библиотеку добавляется модуль, содержащий в себе вирус,
оформленный в виде подпрограммы. Затем в модуль, который должен
получать управление от Дос в сформированной программе, всавляется
вызов подпрограммы, содержащей вирус. При этом корректируется
таблица глобальных имен, используемых в бибилиотеке. При
компоновке какой-либо программы модуль с вирусом автоматически
подключается к программе и всегда будет запускаться при ее
запуске..."
6.6.3. Вирус "падающие головки винчестера"
Данная легенда стала неотъемлемой частью программистского
фольклора. Попытку придать этой легенде статус научного факта
предпринял Ю.Н.Основский. В брошюре [Основский90] написано
буквально следующее:
"Вирусы, вызывающие аварию аппаратного обеспечения ЭВМ,
представляются наиболее опасными из всех классов вирусов. Если
после срабатывания вируса из классов, описанных выше, самым
серьезным последствием является гибель всей информации на
носителях, то срабатывание вируса, вызывающего аварию аппаратного
обеспечения ЭВМ, кроме логического разрушения информации, вызывает
еще и физическую поломку машины.
К счастью, автор не сталкивался еще с такими вирусами "лицом к
лицу" (т.е. на своем персональном компьютере), однако наблюдал
результаты срабатывания одного из таких вирусов на машине своих
коллег. Этот вирус заставил операционную систему обращаться к
жесткому диску с резонансной частотой блока его головок. Как
результат - падение блока головок на вращающийся диск,
заклинивание диска с повреждением всех его поверхностей и,
естественно, разрушением информации. Для восстановления
работоспособности машины пришлось покупать новый жесткий диск."
Далее автор приводит еще более интересные сведения:
"Однако можно с достаточной степенью уверенности утверждать, что
распространение этого типа вирусов не грозит пользователям
персональных ЭВМ с жесткими дисками производства стран є членов
СЭВ только в том случае, если жесткие диски собраны в этих
странах. При использовании готовых "фирменных" жестких дисков
проникший на машину вирус может сработать, так как для определения
резонансной частоты диска необходимо точно знать его физические
параметры. Поэтому опасность срабатывания подобного вируса грозит
только тем пользователям, машины которых оснащены "фирменными"
жесткими дисками. Автору удалось установить (естественно, не путем
эксперимента), что эти вирусы существуют в настоящее время только
для двух типов "фирменных" жестких дисков: SeaGate и Amstrad."
К сожалению, как будет ясно из дальнейшего изло- жения,
благодаря богатой фантазии Ю.Н.Основскому удалось установить
(естественно, не путем эксперимента) не только это.
6.6.4. Вирус в сетевом драйвере
Источником данной легенды является все та же статья [Чижов88].
Приведем соответствующую цитату.
"Возможно создание вируса, внедряемого в сетевой драйвер. Такой
вирус переносит себя по сети на другой компьютер. Возможность
перенесения по сети, конечно, зависит от вида сети - один вирус
обычно может заражать только сеть одного вида с однотипными
драйверами обслуживания сети.
Самый простой способ переноса такого вируса - передача по сети
нового варианта сетевого драйвера. Для этого необходимо, чтобы
зараженный драйвер вызвал от незараженного абонента сетевой
драйвер (или его часть), добавил в него вирус и передал обратно.
При последующем запуске сетевого драйвера будет запущен уже новый
зараженный драйвер.
Процесс заражения сопровождается довольно большими передачами по
сети, поэтому вирус может быть обнаружен за счет не только
изменения размера сетевого драйвера или его контрольной суммы, но
и обнаружения лишних передач по сети."
6.6.5. Сетевой вирус RCE-2231
Эта легенда принадлежит, по видимому, Ю.Н.Основскому, который
пишет:
"...Автору известен только один случай заражения сетевым
вирусом, когда появление вируса на одной из концевых машин сети
вызвало немедленное заражение головной машины сети, а за ней - и
всех остальных концевых машин.
Этот вирус длиной 2231 байт распространялся через прерывание DOS
21H (выполнение функций DOS, номера функций 5EH, 5FH). Вирус
заражал .СОМ и .EXE-файлы, увеличивая их длину. Несмотря на то,
что в течение нескольких дней никаких внешних проявлений вируса не
замечалось, было решено полностью очистить все машины от вируса.
Лишь на одной машине, исключенной из сети, вирус был обезврежен в
операционной ситеме, но с исследовательскими целями оставлен в
ряде программ пользователей. В результате исследования выяснилось
следующее:
- вирус и в отстутсвии сети способен заражать операционную
систему, причем не только ее командный процессор, который
поражается сразу, но и скрытые системные файлы, которые поражаются
в самом конце инкубационного периода;
- инкубационный период вируса составляет около месяца, после
чего на машине происходит "ядерный взрыв" (это название предложено
автором на основании анализа пораженного вирусом жесткого диска
после срабатывания). Дело в том, что характер поражения напоминает
след ядерного взрыва: чем ближе к FAT-таблице, которая является
как бы "эпицентром" жесткого диска, тем больше разрушенных
векторов в логических кластерах);"
Ну и так далее. Если рассматривать данное описание как
спецификацию, то она, к сожалению, представляется вполне
реализуемой, если, конечно, отбросить "проколы" типа поражения
скрытых системных файлов в конце инкубационного периода. Более
того, напрашивается сравнение с вирусом C-1260v (прил.3), который
фактически основан на аналогичной спецификации. Здесь, пожалуй,
четче всего видна опасность фантазирования на "вирусную тематику".
Не случайно, по некоторым данным, разведслужбы специально
анализируют издаваемые детективы на предмет возможного
использования приводимых сюжетных ходов в реальных операциях, а
после просмотра "жестокого" фильма отмечается возрастание числа
опасных преступлений, близких по схеме к событиям на экране.
6.6.6. Вирусы, поражающие скрытые системные файлы.
Данная легенда, по видимому, принадлежит А.А.Чижову. В уже
упоминавшейся статье [Чижов88] он пишет:
"Вряд ли вирус может внедриться в загрузчик, так как загрузчик
должен размещаться в одном секторе диска емкостью 512 байт. В
загрузчике практически нет свободного места.
Другое дело - скрытые файлы ДОС. Вирус может прикрепиться к
любому из этих файлов, при этом его дальнейшее поведение может
быть различным. Само прикрепление происходит просто - вирус может
дописать себя в конец одного из файлов. при запуске каждого из
скрытых файлов управление передается на начало файла, в котором
стоит команда перехода на инициатор соответствующей части ДОС,
вместо которой вирус может поставить переход на свое начало, а
после настройки запустить инициатор ДОС. Наиболее действенным
может быть прикрепление ко второму скрытому файлу -
IBMDOS.COM(MSDOS.SYS), так как, во-первых, в конце первого файла
находится конфигуратор системы, обрабатывающий файл CONFIG.SYS,
что мешает прикреплению вируса, во-вторых, в момент запуска
первого скрытого файла ДОС еще не функционирует. В момент же
запуска второго скрытого файла ДОС уже частично функционирует,
полностью сформированы драйверы ввода-вывода."
То, что А.А.Чижов описал как одну из возможностей, пытаясь одним
из первых самостоятельно проанализировать возможные пути
инфицирования MS DOS (и ошибаясь в данном случае), Ю.Н.Основский
преподносит нам как факт, имеющий место на начало 1990 г.:
"Поражение скрытых системных файлов приводит к заражению всей
операционной системы ЭВМ, а если ЭВМ включена в состав локальной
вычислительной сети, то возможен переход вируса на любую другую
машину сети, в том числе и на головную.
Правда, обычно заражение скрытых системных файлов довольно легко
распознается, так как одна из первых же перезагрузок пораженной
операционной системы приводит к срабатыванию вируса и, как
правило, к потере информации на носителе (ничего себе легкое
распознавание ! - БНН). Отметим, что большинство вирусов,
заражающих скрытые системные файлы, относятся к классам вирусов,
либо повреждающих системные области дисков, либо форматирующих
диски.".
Опыт автора показывает, что в случае поражения обычными
файловыми вирусами (резидентные вирусы, заражающие файлы при
открытии заражают указанные системные файлы при их копировании)
скрытых файлов операционная система становится неработоспособной.
Специальных вирусов, рассчитанных именно на заражение скрытых
файлов, в настоящее время не существует (возможно, потому, что
слишком мала инфицирующая способность такого вируса - меньше чем у
бутового). Единственный специализированный вирус, заражающий
командный процессор (Lеhigh), по данным П.Хофман, можно считать
практически уничтоженным. В нашу страну он пока не попадал.
7. КАТАЛОГ БУТОВЫХ ВИРУСОВ,
ОБНАРУЖЕННЫХ В СССP
В настоящее время можно выделить четыре группы бутовых вирусов:
итальянскую, пакистанскую, новозеландскую и индийскую.
7.1. Итальянская группа
Итальянская группа представляет собой бутовые вирусы,
демонстрирующие интересный визуальный эффект: во время работы
пользователя ни с того ни с сего на экране появляется хаотически
движущееся на экране светлое пятно (мячик). Первым и наиболее
распространенным представителем этой группы является вирус Bx1-1C,
на примере которого мы и рассмотрим эту группу.
7.1.1. Вирус Bx1-1C (Ping-Pong - Пинг-понг;
Italian Bouncing - Итальянский попрыгунчик)
Неформальные названия данного вируса связаны с тем, что вирус
визуально проявляется в виде светлого ромбика на экране дисплея,
двигающегося в случайном направлении и "отражающегося" от символов
псевдографики. Формально данный вирус относится к резидентным
бутовым вирусам типа Вx1: он заражает как дискеты, так и
винчестер, а его хвост расположен в одном кластере, помеченном как
сбойный, как на дискетах, так и на винчестере.
Дамп головы и хвоста вируса приведены ниже. Как уже указывалось,
инфицируются любые дискеты, а не только системные. Оригинальный
бутсектор находится во втором секторе сбойного класера, что
позволяет использовать его при восстановлении с помощью Norton
Utilities или PC Tools. Длина вируса составляет 1536 (600h) байт.
Перехватывает прерывания 10h и 13h. Когда происходит загрузка с
зараженного диска, сначала считывается голова вируса, которая
размещается по адресу 0000:7C00 и управление передается на начало
вируса. Вирус определяет объем памяти компьютера (слово по адресу
0040:0013) и уменьшает его значение на 2, резервируя место
размером 2K под свою копию. Затем вирус копирует себя в
зарезервированную область, передает туда управление, ищет свою
вторую часть на диске, дописывает к себе свое продолжение и
считывает оригинальный бутсектор (второй сектор псевдосбойного
кластера с хвостом вируса) в память по адресу 0000:7C00. Затем
вирус перехватывает прерывание 13h с тем, чтобы контролировать
обращения к диску и за
...Закладка в соц.сетях
