Компьютерная вирусология ч. 1

страница №20

...пускает стандартный системный загрузчик (
передавая управление на адрес 0000:7C00), который, в свою очередь,
загружает IBMIO.COM и IBMDOS.COM (или IO.SYS и MSDOS.SYS), т.е.
происходит стандартная загрузка системы. В дальнейшем, в процесс
работы пользователя на ЭВМ, вирус активируется всякий раз, когда
выполняется операция чтения с дискеты. Получив управление, вирус
анализирует, относится ли оно к дискете или к винчестеру. Если это
прерывание относится к дискете, то сначала вирус проверяет,
заражена уже данная дискета или нет. Для этой цели считывается
бутсектор и проверяются его содержимое. Если дискета еще не
заражена, то вирус заражает дискету, а затем обрабатывает команду
READ. В случае, если дискета уже заражена, вирус сразу переходит к

обработке команды READ; так же он поступает в случае, если дискета
защищена от записи.
Заражение выполняется следующим образом. Сначала вирус копирует
оригинальный бутсектор в оперативную память. Затем вирус ищет
свободный кластер, который он может пометить как сбойный. Если ни
одного свободного кластера на дискете нет, то заражения не
происходит. Если подходящий кластер найден, то вирус копирует туда
оригинальный бутсектор и свой хвост (в первый сектор кластера
записывается хвост, а во второй сектор - оригинальный бутсектор).
Для того чтобы занятый вирусом кластер не был использован MS DOS
при создании нового файла, вирус помечает этот кластер как
сбойный. И, наконец, вирус записывает свою голову в бутсектор
заражаемого диска, предварительно записав в ней номер кластера,
содержащего хвост вируса. Заражение дискет происходит стандартным
образом: при обращении к дискете. Заражаемые дискеты должны иметь
512 сектора и 2 сектора в кластере. При заражении винчестера вирус
анализирует в MBR таблицу разделов (Partition Table) и определяет
положение бутсектора на винчестере.
Стадия проявления у данного вируса наступает через случайный
промежуток времени, варьирующийся от десятков минут до десятков
часов. Условия активизации точно автору не известны. Как уже
указывалось, стадия проявления заключается в появлении на экране
светлого ромбика(знак 07h ASCII), который хаотически движется по
диагоналям, отражающегося от границ экрана и символов
псевдографики. При этом не имеет значения тип установленного
адаптера. Ромбик беспрепятственно проходит сквозь обычные символы;
однако в некоторых случаях он изменяет цвет символа или заменяет
символ собой, искажая в последнем случае содержимое экрана. При
редактировании это совсем не безобидные изменения, поскольку при
записи в память искажения сохраняются. Поэтому можно исказить
редактируемый текст, работая на зараженной машине.
Если экран находится в графическом режиме, то движущийся ромбик
изменяет цвет полей, через которые он проходит. Для некоторых игр
это приводит к быстрому окрашиванию экрана в черный цвет, что
делает невозможным продолжение игры. Как уже указывалось изменение
цвета наблюдается и в текстовом режиме, когда ромбик, "проходя
сквозь символ", также меняет его цвет. Это часто наблюдается со
стандартной подсказкой DOS.
В теле вируса имеется экзотическая команда, которую выполняет
микропроцессор 8086/8088 и не выполняет микропроцессор 80286.
Поэтому вирус работоспособен только на машинах класса XT. При
попытке загрузиться с зараженной дискеты на IBM PC/AT система
зависает.
Исторические замечания. Данный вирус появился на Западе примерно
в конце 1987 г. В СССР появился в конце 1988 г. (в Киеве в начале
1989 г.). Поскольку вирус достаточно распространен в соцстранах,
то он, несомненно, попадал в СССР неоднократно с различными
программными средствами. Первым и достаточно удачным фагом для
этого вируса, появившимся в Киеве, была зарубежная программа PNCL,
см. СП 1-1. Поскольку данный вирус является одним из самых
распространенных бутовых вирусов, имеются многочисленные штаммы.
Неформальные названия. Для данного вируса существует порядка
десятка неформальных названий. Среди них: Bouncing Dot - Танцующий
зайчик; Bouncing Ball - Прыгающий мячик; Italian Bouncing -
Итальянский попрыгунчик; Ball - Мячик, Vera Cruz - Вера Круз,
Italian - Итальянский. Полидетектор SCAN опознает этот вирус как
"Ping Pong Virus - Version B [Ping]".
Методы и программные средства защиты. Вирус можно
идентифицировать путем визуального просмотра содержимого
бутсектора (использовать Norton Utilities удобнее чем PCTools).
При проверке полученных дискет удобнее всего сравнивать первые три
байта (J-сигнатуру) дампа. Norton Utilitis (NU), которая выдает
FAT в "полуинтерпретированном" виде и позволяет сразу определить
номер кластера, помеченного как сбойный, что облегчает его поиск и
анализ. Как уже указывалось, вирус хранит содержимое нормального
бутсектора во втором секторе своего сбойного кластера. Поэтому
можно дезинфицировать зараженные дискеты, переписывая второй
сектор сбойного кластера в бутсектор. Эту операцию можно
выполнить, например, с помощью Norton Utilities. Затем необходимо
исправить в FAT сбойный кластер на FFF (тем самым он становится
"потерянным") и превратить его в файл, запустив утилиту CHKDSK с
параметром /F, и наконец, удалить полученный файл с тем, чтобы
бывший сбойный кластер попал в пул свободных кластеров. Имеется
также специальная утилита для удаления сбойный секторов. Полифаг
AIDSTEST и другие сопровождаемые полифаги распознают и уничтожают
этот вируса, предварительно нейтрализуя его в памяти. Тем не менее
лучше выполнять эту операцию, загрузивщись с защищенной от записи
эталонной MS DOS. Возможно вакцинирование дискеты от данного
вируса, однако оно существенного значения не имеет, поскольку при
минимальных мерах предосторожности (обязательное использование при
копировании программ с дискет защитных наклеек, контроль
бутсектора), распространения этого вируса, как и любого, бутового
вируса можно избежать.

Дамп головы вируса Bx1-1C

000: EB1C90504320546F 6F6C730002020100 ...PC Tools.....
010: 027000D002FD0200 09000200000033C0 .p............3.
020: 8ED0BC007C8ED8A1 13042D0200A31304 ....|.....-.....
030: B106D3E02DC0078E C0BE007C8BFEB900 ....-......|....
040: 01F3A58EC80E1FE8 000032E4CD138026 ..........2....&
120: F77DFE5A595B5807 1FEA1B0300C8B801 .}.ZY[X.........
130: 02B600B90100E88A FFF606F87D807423 ............}.t#
140: BEBE81B90400807C 0401740C807C0404 .......|..t..|..
150: 740683C610E2EFC3 8B148B4C02B80102 t..........L....
160: E860FFBE0280BF02 7CB91C00F3A4813E .`......|......"
170: FC8157137515803E FB8100730DA1F581 ..W.u.."...s....
180: A3F57D8B36F981E9 0801C3813E0B8000 ..}.6......."...
190: 0275F7803E0D8002 72F08B0E0E80A010 .u.."...r.......
1A0: 8098F726168003C8 B82000F726118005 ...&..... ..&...
1B0: FF01BB0002F7F303 C8890EF57DA1137C ............}..|
1C0: 2B06F57D8A1E0D7C 33D232FFF7F3408B +..}...|3.2...@.
1D0: F88026F77DFB3DF0 0F7605800EF77D04 ..&.}.=..v....}.
1E0: BE01008B1E0E7C4B 891EF37DC606B27E ......|K...}...~
1F0: FEEB0D01000C0001 00240200571355AA .........$..W.U.

Хвост вируса, записанный в "псевдосбойном" кластере

000: FF06F37D8B1EF37D 8006B27E02E88DFE ...}...}...~....
010: EB39B80300F606F7 7D04740140F7E6D1 .9......}.t.@...
020: E82A26B27E8BD881 FBFF0173D38B9700 .*&.~......s....
030: 80F606F77D04750D B104F7C601007402 ....}.u.......t.
040: D3EA80E60FF7C2FF FF7406463BF776C2 .........t.F;.v.
050: C3BAF7FFF606F77D 04750D80E60FB104 .......}.u......
060: F7C601007402D3E2 099700808B1EF37D ....t..........}
7.1.2. Штамм Bx1-1C-b
(Ping-Pong modified by Yankee Doodle - Пинг-понг,
модифицированный вирусом Янки Дудль)

В данном штамме имеются изменения, вносимые вирусами подгруппы
музыкальных самоедов. Изменения состоят в введении счетчика,
увеличивающегося на единицу при каждом заражении. При достижении
счетчиком значения 255 вирус теряет способность к дальнейшему
размножению.
Исторические замечания. Выделен и изучен И.Сысоевым. Приводимые
сведения опираются непосредственно на его сообщение на семинаре.
Неформальные названия. Помимо приведенного выше, отсутствуют.
Методы и программные средства защиты. Рекомендуется использовать
полифаг AV.

7.1.3. Штамм Bx1-1C-с
(Hacked Ping-Pong - Искромсанный пинг-понг)

Данный штамм является версией оригинального вируса, в котором
непосредственно в загрузочном модуле сделаны изменения,
направленные на стирание первых секторов диска при нажатии клавиши
Scroll Lock. Из-за ошибок при коррректировании загрузочного модуля
"по живому" данный штамм только размножается. Впрочем возможно
имеется и "доработанная" версия.
Исторические замечания. Выделен и изучен И.Сысоевым. Приводимые
сведения опираются непосредственно на его сообщение на семинаре.
Неформальные названия. Помимо приведенного выше, отсутствуют.
Методы и программные средства защиты. Рекомендуется использовать
полифаг AV.

7.1.4. Штамм Bx1-1C-d
(Double Ping-pong - двойной пинг-понг)

Данный штамм отличается от предыдущего наличием двух движущихся
светлых пятен.

7.2. Пакистанская группа

Представители пакистанской группы вирусов отличаются тем, что
они не заражают винчестер, заражая только дискеты. Первым
представителем этой группы является вирус Dx3-E9.

7.2.1. Вирус Dx3-E9 (Singapore Brain -
Сингапурский вариант Душманских мозгов)
Вирус Dx3-E9 во многом аналогичен вирусу Bx1-1C, однако в отличие
от Bx1-1C, он никогда не инфицирует винчестер. Он заражает
только 40 дорожечные двухсторонние 9-ти секторные дискеты (360K),
которые были сформатированы MS DOS. При заражении дискеты ее имя
меняется на (С)BRAIN, чем и определяется неформальное название вируса.

Рассматриваемый штамм появился несколько позднее оригинальной
версии и имеет, по-видимому, сингапурское происхождение.
На дискетах хвост вируса расположен в трех кластерах (шести
секторах), помеченных как сбойные. На зараженной ЭВМ вирус
уменьшает обьем доступной памяти на 7К.
В отличие от Bx1-1C, на инфицированной MS DOS (с вирусом,
находящемся в старших адресах памяти) невозможно прочитать
инфицированный бутсектор. В случае, когда делается такая попытка,
Dx3-E9 перенаправляет запрос на чтение в оригинальный бутсектор,
хранящийся в одном из сбойных кластеров. Поэтому непременным
условием анализа является предварительная загрузка MS DOS с
незараженной дискеты, защищенной от записи.
Процесс загрузки в память для данного вируса полностью
аналогичен вирусу Bx1-1C.
После того, как вирус стал резидентным, он активируется при
возникновении прерывания по чтению. Получив управление по этому
прерыванию, он анализирует, относится ли оно к дискете или к
винчестеру. Если это прерывание относится к дискете, то сначала
вирус проверяет, заражена уже данная дискета или нет. Для этой
цели считывается бутсектор и проверяются его четвертый и пятый
байты (в зараженной дискете там находится подпись "1234", которая
при просмотре дампа имеет вид 3412). Если подпись отсутствует, то
вирус заражает дискету, а затем обрабатывает команду READ. В
случае, если дискета уже заражена, вирус обрабатывает команду
READ; так же он поступает в случае, если дискета защищена от
записи.
Основное отличие в функционировании заключается в том, что при
заражении дискеты вирус ищет не один, а три последовательных
свободных кластера. Если их нет, то заражения не происходит.
Однако, если есть лишь один свободный кластер, который не
относится к двум последним кластерам дискеты, то вирус использует
его, затирая два соседних кластера и отмечая все три как сбойные.
Очевидно, что соответствующий файл(ы) повреждается и диск будет
копироваться с ошибками.
Вирус может длительное время находиться в стадии размножения.
Фаза проявления состоит в переименовании заражаемых дискет.
Также как и Bx1-1C, вирус Dx3-E9 может загружаться с несистемной
дискеты. При этом после загрузки вирус выдает сообщение:

Please Insert a Bootable disk
Then Type [Return]

Хотя размер вируса достигает 3К, менее половины кода вируса
действительно выполняется. Часть кода похоже не получает
управления ни при каких обстоятельствах и, возможно, вставлена для
затруднения дисассемблирования и анализа.
Исторические замечания. Оригинальная версия вируса Dx3-E9
является первым бутовым вирусом для MS DOS, получившим массовое
распространение и была выявлена в США в октябре 1987 г., где она
вызвала своего настоящую эпидемию. Название Brain связано с тем,
что он присваивает имя Brain любой зараженной дискете. Это один из
немногих вирусов, для которых установлены авторы: Basit Farood
Alvi (19 лет) и Bruder Amgad (23 года) из Лахора (Пакистан).
Поэтому иногда этот вирус называют "Душманские мозги". П.Хофман
отмечает наличие ряда штаммов:
1. Brain-B/Hard Disk Brain/Houston Virus - штамм заражающий
винчестер;
2. Brain-C - доработанный штамм Brain-B, в котором метка "©
Brain" удалена;
3. Clone Virus - доработанный штамм Brain-C, в котором опять
восстановлена оригинальная метка;
4. Clone-B - наиболее опасный штамм - версия Clone Virus
модифицированная так, что она уничтожает FAT винчестера после
5.05.92.
Рассматриваемый сингапурский штамм Dx3-E9 был первым штаммом
BRAIN, обнаруженным в СССР. Его выделил А.Сесса в Днепропетровске
в начале сентября 1989 г. на "дистрибутивных" дискетах с пакетами
Dr. Halo III и GeniScan Edit, входивших в поставочный пакет
сканера фирмы Genius. По данным А.Сессы вирус попал в
Днепропетровск вместе с компьютерами, привезенными из Тайваня на
компьютерную ярмарку.

Первым детектором для данного вируса был полидетекторор SCAN, а
первым фагом - программа NOBRAIN. Как детектор, так и фаг были
известны до появления вируса (распространялись через СОФТПАНОРАМУ
в сентябре-октябре 1989 года).

Неформальные названия. Помимо приведнного в заголовке,
используется название Brain-88 - Душманские мозги-88.
Методы и программные средства защиты. Рекомандуемые полифаги
приведены в прил.2. Как уже указывалось, вирус нельзя
идентифицировать путем визуального просмотра содержимого
бутсектора, например, с помощью PCTools, на зараженной машине; его
можно определить, только загрузившись с системной защищенной
дискеты. Поскольку вирус размещает в соответствующих байтах
бутсектора свою подпись, можно вручную вакцинировать дискеты,
исправляя соответствующие байты бутсектора.

Бутсектор, зараженный вирусом Brain

000: FAE94A0134120102 0600010020202000 ..J.4....... .
010: 2020202020205765 6C636F6D6520746F Welcome to
020: 207468652044756E 67656F6E20202020 the Dungeon
030: 2020202020202020 2020202020202020
040: 2020202020202020 2020202020202020
050: 2028432920313938 3820426173697420 (C) 1988 Basit
060: 2620416D6A616420 2870767429204C74 & Amjad (pvt) Lt
070: 642E202020202020 2020202020202020 d.
080: 20425241494E2043 4F4D505554455220 BRAIN COMPUTER
090: 5345525649434553 2E2E373330204E49 SERVICES..730 NI
0A0: 5A414D20424C4F43 4B20414C4C414D41 ZAM BLOCK ALLAMA
0B0: 20495142414C2054 4F574E2020202020 IQBAL TOWN
0C0: 2020202020202020 20204C61686F7265 Lahore
0D0: 2C50616B69737461 6E2E2050683A2034 ,Pakistan. Ph: 4
0E0: 33303739312C2034 34333234382E2056 30791, 443248. V
0F0: 6572202853696E67 61706F7265292020 er (Singapore)
100: 426577617265206F 6620746869732022 Beware of this "
110: 7669727573222E20 49742077696C6C20 virus". It will
120: 7472616E73666572 20746F206D696C6C transfer to mill
130: 696F6E206F662044 69736B6574746573 ion of Diskettes
140: 2E2E2E2E20242340 2524402121208CC8 .... $#@%$@!! ..
Фрагменты дампа хвоста вируса Brain,
расположенного в псевдосбойных кластерах 55 - 57

+----- начало оригиналь-
| ного бутсектора
000: EB349049424D4D53 332E330002020100 .4.IBMMS3.3.....
010: 027000D002FD0200 0900020000000000 .p..............
020: 0000000000000000 0000000000000012 ................
030: 000000000100FA33 C08ED0BC007C1607 .......3.....|..
040: BB780036C5371E56 1653BF2B7CB90B00 .x.6.7.V.S.+|...
050: FCAC26803D007403 268A05AA8AC4E2F1 ..&.=.t.&.......
060: 061F894702C7072B 7CFBCD137267A010 ...G...+|...rg..
150: 1A7C88162A7CA339 7CC3B4028B16397C .|..*|.9|.....9|
160: B106D2E60A363B7C 8BCA86E98A16FD7D .....6;|.......}
170: 8A362A7CCD13C30D 0A4E6F6E2D537973 .6*|.....Non-Sys
180: 74656D206469736B 206F72206469736B tem disk or disk
190: 206572726F720D0A 5265706C61636520 error..Replace
1A0: 616E642073747269 6B6520616E79206B and strike any k
1B0: 6579207768656E20 72656164790D0A00 ey when ready...
1C0: 0D0A4469736B2042 6F6F74206661696C ..Disk Boot fail
1D0: 7572650D0A004942 4D42494F2020434F ure...IBMBIO CO
1E0: 4D49424D444F5320 20434F4D00000000 MIBMDOS COM....
1F0: 0000000000000000 00000000000055AA ..............U.
00: EB26202843292031 3938382042617369 .& (C) 1988 Basi
210: 74202620416D6A61 6420287076742920 t & Amjad (pvt)
220: 4C74642E00040100 2EC60625021F33C0 Ltd........%..3.
340: 0000000000000000 0000000000000000 ................
350: EB25900300202843 2920313938382042 .%... (C) 1988 B
360: 6173697420262041 6D6A616420287076 asit & Amjad (pv
370: 7429204C746420E8 AD00A1BE063DFDFF t) Ltd ......=..
490: 036B000303BE0E01 000101E0D89DD7E0 .k..............
4A0: 9F8D989F8EE02028 432920427261696E ...... (C) Brain
4B0: 2024E8DB00720A57 E81F005F7203E8D7 $...r.W..._r...
4C0: 00C3BB9B04B90B00 8A07F6D888044643 ..............FC
+----- еще одна копия
| оригинального
| бутсектора
6B0: 09C606090000FE06 0B00C3647461EB34 ...........dta.4
6C0: 9049424D4D53332E 3300020201000270 .IBMMS3.3......p
6D0: 00D002FD02000900 0200000000000000 ................
6E0: 0000000000000000 0000000000120000 ................

820: D2E60A363B7C8BCA 86E98A16FD7D8A36 ...6;|.......}.6
830: 2A7CCD13C30D0A4E 6F6E2D5379737465 *|.....Non-Syste
840: 6D206469736B206F 72206469736B2065 m disk or disk e
850: 72726F720D0A5265 706C61636520616E rror..Replace an
860: 6420737472696B65 20616E79206B6579 d strike any key
870: 207768656E207265 6164790D0A000D0A when ready.....
880: 4469736B20426F6F 74206661696C7572 Disk Boot failur
890: 650D0A0049424D42 494F2020434F4D49 e...IBMBIO COMI
8A0: 424D444F53202043 4F4D000000000000 BMDOS COM......
8B0: 0000000000000000 0000000055AA0000 ............U...
8C0: 0000000000000000 0000000000000000 ................

*** следующие строки идентичны предыдущей ***

AB0: 0000000000000000 000000000000FDFF ................
AC0: FF03400005600007 800009A0000BC000 ..@..`..........
AD0: 0DE0000F00011120 0113400115600117 ....... ..@..`..
AE0: 800119A0011BC001 1DE0011F00022120 ..............!
AF0: 0223400225600227 800229A0022BC002 .#@.%`.'..)..+..
B00: 2DE0022F00033120 0333F0FF00000000 -../..1 .3......
B10: 70FFF77FFF000000 0000000000000000 p..............
B20: 0000000000000000 0000000000000000 ................

*** следующие строки идентичны предыдущей ***

BF0: 0000000000000000 0000000000000000 ................

7.2.2. Вирус Dx3-E9
(Оригинальная версия BRAIN;
Pakistani virus - Пакистанский вирус;
Brain-86 - Душманские Мозги-86)

Оригинальная версия Brain в СССР, по видимому, не отмечалась.
Приводимый ниже фрагмент бутсектора воспроизводится по статье
[149].
Исторические замечания. Выделен и изучен И.Сысоевым. Приводимые
сведения опираются непосредственно на его сообщение на семинаре.
Неформальные названия.
Методы и программные средства защиты. Рекомендуется использовать
полифаг AV.

Голова вируса BRAIN
(видна только на незараженной вирусом машине)

000: FAE94A0134120102 2700010000000020 ·щJ—4—' —
010: 2020202020205765 6C636F6D6520746F Welcome to
020: 207468652044756E 67656F6E20202020 the Dungeon
030: 2020202020202020 2020202020202020
040: 2020202020202020 2020202020202020
050: 2028632920313938 3620426173697420 © 1986 Basit
060: 2620416D6A616420 2870767429204C74 & Amjad (pvt) Lt
070: 642E202020202020 2020202020202020 d.
080: 20425241494E2043 4F4D505554455220 BRAIN COMPUTER
090: 5345525649434553 2E2E373330204E49 SERVICES..730 NI
0A0: 5A414D20424C4F43 4B20414C4C414D41 ZAM BLOCK ALLAMA
0B0: 20495142414C2054 4F574E2020202020 IQBAL TOWN
0C0: 2020202020202020 2020204C41484F52 LAHOR
0D0: 452D50414B495354 414E2E2E50484F4E E-PAKISTAN..PHON
0F0: 45203A3433303739 312C343433323438 E :430791,443248
100: 2C3238303533302E 2020202020202020 ,280530.
110: 2020426577617265 206F662074686973 Beware of this
120: 2056495255532E2E 2E2E2E436F6E7461 VIRUS.....Conta
130: 637420757320666F 722076616363696E ct us for vaccin
7.2.3. Штамм Dx3-E9 (Ashar - Ашар)

Данный штамм отличается от предыдущего тем, что помимо дискет,
он заражает и винчестер. Содержит модифицированное по отношению к
предыдущему вирусу текстовое сообщение "VIRUS_SHOE RECORD, v9.0.
Dedicated to the dynamic memories of millions of virus who are no
longer with us today". Последнее, как и в предыдущем случае, не
видно при просмотре бутсектора на зараженной машине. Используемое
неформальное название связано с строкой "© ashar", которая
обычно содержится в теле вируса со смещением 04A6h.
Исторические замечания. Данный штамм описан П.Хофман в версии от
10.08.90. Широко распространен в США. Имеется версия 9.1, которая
в отличие от рассматриваемой версии 9.0 не заражает винчестер. В
СССР выделен Д.H.Лозинским в начале 1990 года.

Неформальные названия. Помимо приведенного в заголовке,
используются названия Shoe_Virus, UIUC Virus
Методы и программные средства защиты.См. предыдущий штамм.

Дамп штамма Ashar

000: FAE94A0134120009 1700010000000000 ..J.4...........
010: 57656C636F6D6520 746F207468652020 Welcome to the
020: 44756E67656F6E20 2020202020202020 Dungeon
030: 2863292031393836 20427261696E1726 © 1986 Brain.&
040: 20416D6A61647320 2870767429204C74 Amjads (pvt) Lt
050: 6420202056495255 535F53484F452020 d VIRUS_SHOE
060: 5245434F52442020 2076392E30202020 RECORD v9.0
070: 4465646963617465 6420746F20746865 Dedicated to the
080: 2064796E616D6963 206D656D6F726965 dynamic memorie
090: 73206F66206D696C 6C696F6E73206F66 s of millions of
0A0: 2076697275732077 686F20617265206E virus who are n
0B0: 6F206C6F6E676572 2077697468207573 o longer with us
0C0: 20746F646179202D 205468616E6B7320 today - Thanks
0D0: 474F4F444E455353 2121202020202020 GOODNESS!!
0E0: 2042455741524520 4F46205448452065 BEWARE OF THE e
0F0: 722E2E5649525553 20203A205C746869 r..VIRUS : \thi
100: 732070726F677261 6D20697320636174 s program is cat
110: 6368696E67202020 20202070726F6772 ching progr
120: 616D20666F6C6C6F 7773206166746572 am follows after
130: 207468657365206D 657373656765732E these messeges.
140: 2E2E2E2E20242340 2524402121208CC8 .... $#@%$@!! ..
150: 8ED88ED0BC00F0FB A0067CA2097C8B0E ..........|..|..
160: 077C890E0A7CE857 00B90500BB007EE8 .|...|.W......~.
170: 2A00E84B0081C300 02E2F4A113042D07 *..K..........-.
180: 00A31304B106D3E0 8EC0BE007CBF0000 ............|...
190: B90410FCF3A406B8 000250CB5153B904 ..........P.QS..
Фрагменты дампа хвоста вируса,
расположенного в псевдосбойных кластерах 55 - 57

200: EB26286329203139 383620427261696E .&© 1986 Brain
210: 202620416D6A6164 7320287076742920 & Amjads (pvt)
220: 4C74642000040000 2EC60625021F33C0 Ltd .......%..3.
230: 8ED8A14C00A3B401 A14E00A3B601B876 ...L.....N.....v
240: 02A34C008CC8A34E 00B9040033C08EC0 ..L....N....3...
340: 0000000000000000 0000000000000000 ................
350: EB25900300202863 2920313938362042 .%... © 1986 B
360: 7261696E20262041 6D6A616473202870 rain & Amjads (p
370: 767429204C7464E8 AD00A1BE063DFDFF vt) Ltd......=..
490: 0363000303BE0E01 000101E0D89DD7E0 .c..............
4A0: 9F8D989F8EE02028 6329206173686172 ...... © ashar
4B0: 2024E8DB00720A57 E81F005F7203E8D7 $...r.W..._r...
4C0: 00C3BB9B04B90B00 8A07F6D888044643 ..............FC
+----- начало оригиналь-
| ного бутсектора
6B0: 09C606090000FE06 0B00C3647461EB34 ...........dta.4
6C0: 9049424D2020332E 3300020201000270 .IBM 3.3......p
6D0: 00D002FD02000900 0200000000000000 ................
6E0: 0000000000000000 0000000000120000 ................
830: 2A7CCD13C30D0A4E 6F6E2D5379737465 *|.....Non-Syste
840: 6D206469736B206F 72206469736B2065 m disk or disk e
850: 72726F720D0A5265 706C61636520616E rror..Replace an
860: 6420737472696B65 20616E79206B6579 d strike any key
870: 207768656E207265 6164790D0A000D0A when ready.....
880: 4469736B20426F6F 74206661696C7572 Disk Boot failur
890: 650D0A0049424D42 494F2020434F4D49 e...IBMBIO COMI
8A0: 424D444F53202043 4F4D000000000000 BMDOS COM......
8B0: 0000000000000000 0000000055AA0000 ............U...
7.3. Южнозеландская группа

Для данной группы характерно заражение MBR на винчестере и
минимальный хвост, размером в один сектор, содержащий только
оригинальный бутсектор (или MBR), который размещается не в
псевдосбойном кластере, а по определнному абсолютному адресу,
приходящемуся на начальные сектора диска.

7.3.1. Вирус M-05 (Stoned - "Забалдевший")

Название данного вируса связано с тем, ч...

Список страниц

• #
• 1
• 2
• 3
• ...
• 13
• 14
• 15
• 16
• 17
• 18
• 19
• 20
• 21
• 22
• 23
• 24
• 25
• 26
• 27
• ...
• 45
• 46
• 47

Закладка в соц.сетях