Жанр: Учеба
Компьютерная вирусология ч. 1
...то при загрузке MS DOS с
вероятностью 1/8 на экран выдается сообщение "Your PC is now
Stoned", после которого, с некоторой задержкой, возрастающей по
мере увеличения количества перезагрузок и сопровождающийся
характерным звуком выполняется нормальная загрузка. Голова вируса
вируса содержит строку "LEGALISE MARIJUANA!". Хвост состоит только
из оригинального бутсектора.
Заражение дискет выполняется стандартным образом. При заражении
винчестера голова вируса записывается в не в бутсектор раздела С,
а в абсолютный начальный сектор диска, который на винчестере
содержит Partition Table (таблицу разделов диска).
Расположение хвоста вируса отличается для дискеты и винчестера.
На дискете хвост вируса расположен не в сбойном кластере, а в
секторе с абсолютным адресом (цилиндр/дорожка/сектор) 0/1/3 -
последнем секторе главного каталога дискеты. На винчестере хвост
располагается в свободный сектор с абсолютным адресом 0/0/7,
который представляет собой неиспользуемое пространство между MBR и
началом логического диска С.
При заражении дискеты проверок, занят ли указанный выше сектор
информацией или нет, вирус не выполняет. Поэтому на дискете,
содержащей в главном каталоге много мелких программ, возможно
уничтожение части каталога. В случае, если винчестер разбит более
чем на четыре логических раздела, содержимое записей PARTITION
TABLE всех разделов после четвертого после заражения теряется и
информация на них становится недоступной. Информацию об этих
разделах можно восстановить с помощью Norton Disk Doctor.
Исторические замечания. Вирус M-05 впервые был обнаружен в
Веллингтоне (Новая Зеландия) в начале 1988 г. По данным П.Хоффман
оригинальный вирус заражал только пятидюймовые дискеты 360K. С
этой точки зрения описанный выше вирус следует рассматривать как
штамм оригинального (Stoned-B). В нашей стране появился в конце
1989 года практически одновременно в нескольких городах. Имеется
несколько штаммов среди которых отметим штамм Stone Rostov,
описанный ниже, а также Stoned-C: штамм с удаленным сообщением;
Stoned-D : аналогичен описанному выше, однако способен заражать
дискеты типа HD (как трех, так и пятидюймовые).
Неформальные названия. Помимо приведенных выше встречаются
названия: Marijuana - Марихуана, Hawaii - Гаваи, New Zealand -
Новая Зеландия, San Diego - Сан Диего, Smithsonian. Полидетектор
SCAN называет данный вирус "Stoned Virus [Stoned]".
Методы и программные средства защиты. Рекомендуемые детекторы и
полифаги приведены в прил.2. Простейшим фагом для данного вируса
на дискете является команда SYS. Для незагружаемого диска можно
вручную стереть бутсектор.
Дамп бутсектора дискеты, зараженной вирусом M-05
000: EA0500C007E99900 0043A300F0E40040 .........C.....@
010: 9F007C00001E5080 FC02721780FC0473 ..|...P...r....s
020: 120AD2750E33C08E D8A03F04A8017503 ...u.3....?...u.
030: E80700581F2EFF2E 0900535152065657 ...X......SQR.VW
040: BE0400B801020E07 BB000233C98BD141 ...........3...A
050: 9C2EFF1E0900730E 33C09C2EFF1E0900 ......s.3.......
060: 4E75E0EB359033F6 BF0002FC0E1FAD3B Nu..5.3........;
170: 1F0E07BEBE03BFBE 01B94202F3A4B801 ..........B.....
180: 0333DBFEC1CD13EB C507596F75722050 .3........Your P
190: 43206973206E6F77 2053746F6E656421 C is now Stoned!
1A0: 070D0A0A004C4547 414C495345204D41 .....LEGALISE MA
1B0: 52494A55414E4121 0000000000000000 RIJUANA!........
1C0: 0000000000000000 0000000000000000 ................
1D0: 0000000000000000 0000000000000000 ................
1E0: 0000000000000000 0000000000000000 ................
1F0: 0000000000000000 0000000000000000 ................
Следует обратить внимание, что в конце зараженного бутсектора
отсутствует двухбайтовый признак загружаемого бутсектора 55h AAh.
7.3.2. Штамм "Stone Rostov"
Данный штамм практически идентичен базисной версии. Изменена
лишь часть кода, связанная с проявлением вируса: данный штамм не
содержит ни характерных текстовых строк ни кода, который выводит
их на дисплей. Вместо этого вставлен код, который при при загрузке
с зараженной дискеты с вероятностью 1/32 стирает на винчестере 8
секторов.
7.3.3. Вирус "PrintScreen"
Отличается адресом хранения хвоста на винчестере (1/3/13 вместо
0/0/7 как в оригинальной версии. При этом может уничтожить один из
секторов FAT.
7.4. Вирус Bx3-EB (Disk Killer - Диск-киллер)
Неформальное название данного вируса связано с содержащимися в
его теле текстовыми строками (см. ниже). Формально данный вирус
относится к бутовым вирусам типа Вx3, поскольку поражает как
дискеты, так и винчестер, причем на дискете хвост вируса
расположен в трех кластерах, помеченных как сбойные. Дамп
секторов, содержащих данный вирус, приведен ниже. Иногда из-за
ошибки в вирусе эти сектора "отнимаются" у некоторого файла, а не
берутся из свободного пространства и создается впечатение, что
файл заражен данным вирусом. Например автору был передан экземпляр
программы DISKCOPY, содержащей в хвосте тело данного вируса.
Вирус поражает и винчестер, однако размещает свой хвост не в
псевдосбойных кластерах, а в секторах, расположенных между MBR и
началом раздела С.
Процесс размножения стандартен. Данный вирус, как и большинство
бутовых вирусов, конфликтует с драйверами дискет, поддерживающих
нестандартные форматы (например, 720K). При этом либо система
зависает, либо выдается сообщение о делении на нуль.
Инфицированный диск содержит сообщение и часть кода вируса в
бутсекторе. Остальная часть вируса, включая копию оригинального
(т.е. незараженного) бутсектора, содержится в трех кластерах,
которые, как уже указывалось выше по разному рамещаются на дискете
и винчестере.
Фаза проявления данного вируса состоит в прописывании
определенным символом всего содержимого раздела С. Если винчестер
содержит несколько разделов, то остальные разделы остаются
нетронутыми (при использовании ADM). Вирус подсчитывает время
использования диска с момента заражения и активирусется после
достижения определнного значения (примерно 48 часов). Обычно это
означает 1-6 недель с момента заражения в зависимости от
интенсивности использования компьютера. Фаза проявления начинается
с выдачи сообщения, содержащегося в коде вируса.
"Disk Killer — Version 1.00 by COMPUTER OGRE 04/01/89
Warning!!
Don't turn off the power or remove the diskette while Disk
Killer is Processing!
PROCESSING
Now you can turn off the power. I wish you Luck!"
Следует отметить, что в этот момент еще можно спасти часть
информации нажав на кнопку перезагрузки (теряются системные
блоки). Затем вирус кодирует сектора выполняя операцию XOR со
значениями 0AAAAh и 05555h. Как известно операция XOR обратима,
поэтому можно восстановить перекодированную информацию. Утилита
для этой цели находится в стадии разработки.
Исторические замечания. В теле вируса содержится дата 04.01.89
(по-видимому, в американском формате), которую можно
интерпретировать как дату создания вируса. По данным П.Хоффман был
выделен в Калифорнии в апреле 1989 г. и имеет тайванское
происхождение.В нашей стране вирус появился в начале 1990 года.
Неформальные названия. Полидетектор SCAN называет данный вирус
"Disk Killer Virus [Killer]". Другими неформальными названиями,
помимо приведенных в заголовке являются Ogre - Людоед, Computer
Ogre, Disk Ogre.
Методы и программные средства защиты. Вирус можно
идентифицировать путем визуального просмотра содержимого
бутсектора, например, Norton Utilities. В качестве детектора может
использоваться полидетектор SCAN. Вместо фага можно использовать
команду SYS.
Дамп бутсектора, зараженного вирусом Bx3-EB
000: FAEB4F4D53444F53 332E330002020100 ..OMSDOS3.3.....
010: 027000D002FD0200 0900020000000000 .p..............
020: 0000000000000000 0000000000000012 ................
030: 000000000100FA33 C08ED0BC0000CB3C .......3......."
040: B200AE0000007400 0000005500000000 ......t....U....
050: 55552EA11304B106 D3E08ED8813E3E00 UU..........."".
060: CB3C75081E8D063B 0250FBCBB8007CB1 ."u....;.P....
1C0: F501A33F01EB0C90 B80000A34101FEC4 ...?........A...
1D0: A33F01B90300B001 51E867FF597308B4 .?......Q.g.Ys..
1E0: 00CD83E2F3F9C3F8 C300000000000000 ................
1F0: 0000000080010100 00000000000055AA ..............U.
Фрагмент дампа первого псевдосбойного сектора с телом вируса
Disk Killer
000: FA2EC60664018333 C08ED8A12000A304 ....d..3.... ...
010: 02A12200A30602A1 4C00A30C02A14E00 ..".....L.....N.
020: A30E02B87B02A320 00B88F02A34C008C ....{.. .....L..
030: C8A32200A34E00FB EB159033C08ED88C .."..N.....3....
040: C88EC0BE037CBF03 00B94700FCF3A433 .....|....G....3
Фрагмент дампа сектора с текстовой информацией
500: 00C70641010000C6 064001018CC88EC0 ...A.....@......
510: BBA208B001E82FFA B80006B90000BA4F ....../........O
520: 18BB0800CD10B402 B700BA000CCD10BB ................
530: 2C00BEDF07E85101 EBFE4469736B204B ,.....Q...Disk K
540: 696C6C6572202D2D 2056657273696F6E iller — Version
550: 20312E3030206279 20434F4D50555445 1.00 by COMPUTE
560: 52204F4752452030 342F30312F313938 R OGRE 04/01/198
570: 390D0A005761726E 696E672021210D0A 9...Warning !!..
580: 0A446F6E27742074 75726E206F666620 .Don't turn off
590: 74686520706F7765 72206F722072656D the power or rem
5A0: 6F76652074686520 6469736B65747465 ove the diskette
5B0: 207768696C652044 69736B204B696C6C while Disk Kill
5C0: 6572206973205072 6F63657373696E67 er is Processing
5D0: 210050524F434553 53494E470D0A004E !.PROCESSING...N
5E0: 6F7720796F752063 616E207475726E20 ow you can turn
5F0: 6F66662074686520 706F7765722E0D0A off the power...
600: 0A49207769736820 796F75206C75636B .I wish you luck
610: 20210057B93A00BE A508BF0300FCF3A4 !.W.:..........
620: 5FC3C60632080290 EB09C60632080390 _...2.......2...
630: EB01005033D28B0E 1A00F7F1C6064001 ...P3.........@.
640: 0188163F01A34101 A162088EC08A2632 ...?..A..b....&2
650: 08A01800E8F4F873 05B400CD13F958C3 .......s......X.
660: 00000000501EFF36 62081F2E8B0E6008 ....P..6b.....`.
7.5. Вирус D-29 (Den-Zuk - Ден-Зук)
Неформальное название данного вируса связано с тем, что вирус
выдает на экран надпись Den-Zuk. Формально данный вирус относится
к бутовым вирусам типа D, поскольку заражает только дискеты, так и
винчестер, причем хвост вируса расположен на 41 дорожке дискеты,
что приводит к тому, что при копировании зараженной дискеты с
помощью DISKCOPY, PC TOOLS и т.д. он теряется.
Следует обратить внимание, что вирус сохраняет характерные для
незераженного вируса текстовые сообщения в бутсекторе. Данный
вирус, как и большинство бутовых вирусов, конфликтует с драйверами
дискет, поддерживающих нестандартные форматы (например, 720K). При
этом либо система зависает, либо выдается сообщение о делении на
нуль. Хвост вируса расположен на 41 дорожке дискеты. В теле хвоста
имеются текстовые строки
"Welcome to the
C l u b
--The HackerS-
Hackin'
All The Time
The HackerS"
При заражении дискет уже зараженных вирусами BRAIN и Ohio Den
Zuk распознает эти виирусы и удаляет их с дискет. Дискеты,
зараженные вирусам BRAIN также могут быть переименованы в
"Y.C.1.E.R.P.".
Исторические замечания. По данным П.Хофман вирус был разработан
в Индонезии программистом или программистами, которые разработали
вирус Ohio. В СССР был впервые обнаружен в Москве С.Алексеевым
весной 1990. Существуют штаммы вируса, подсчитывающие количество
перезагрузок и после того как счетчик достигнет значения 5 или 10
форматирующие дискету.
Неформальные названия. Полидетектор SCAN называет данный вирус
Den Zuk. Другими названиями являются Search (поиск) и Venezuelan
(венесуэльский).
Методы и программные средства защиты. Вирус можно
идентифицировать путем визуального просмотра содержимого
бутсектора, например, Norton Utilities. В качестве детектора может
использоваться полидетектор SCAN. Вместо фага можно использовать
команду SYS.
Дамп бутсектора, зараженного вирусом D-29
000: EB29904934120001 002E320002020100 .).I4.....2.....
010: 027000D002FD0200 0900020000000000 .p..............
020: 000000000F000000 000100FAFA8CC88E ................
030: D88ED0BC00F0FBB8 787C50C3730ABB90 ........x|P.s...
040: 7C53C3B9B07C51C3 33C08ED8A1130483 |S...|Q.3.......
050: 3EF604007509A3F6 042D0700A31304B1 "...u....-......
060: 06D3E00E1F8EC0BE 007C33FFB90014FC .........|3.....
070: F3A406B8000450CB 32E4CD13720D33D2 ......P.2...r.3.
080: B92128BB007EB809 02CD13B83C7C50C3 .!(..~......"|P.
090: BE5F7DB9480032FF 8A04B40ECD1046E2 ._}.H.2.......F.
150: 0A36307C8BCA86E9 8B161E7CCD13C30D .60|.......|....
160: 0A4E6F6E2D537973 74656D206469736B .Non-System disk
170: 206F72206469736B 206572726F720D0A or disk error..
180: 5265706C61636520 616E642073747269 Replace and stri
190: 6B6520616E79206B 6579207768656E20 ke any key when
1A0: 72656164790D0A00 0D0A4469736B2042 ready.....Disk B
1B0: 6F6F74206661696C 7572650D0A004942 oot failure...IB
1C0: 4D42494F2020434F 4D49424D444F5320 MBIO COMIBMDOS
1D0: 20434F4D00000000 0000000000000000 COM............
1E0: 0000000000000000 0000000000000000 ................
1F0: 000000497A616B00 00000000000055AA ...Izak.......U.
7.6. Индийская группа
7.6.1. Вирус WM-1F (Joshi - Джоши)
Название данного вируса связано с тем, что при загрузке MS DOS с
5 января любого года на экран выдается соообщение Type "Happy
Birthday Joshi" ! и компьютер ожидает ответа. Если ввести ответ
Happy Birthday Joshi то загрузка будет продолжена. По данным
Д.Н.Лозинского при программировании выдачи сообщения автор вируса
ориентировался только на цветной монитор.
Вирус WM-1F является наиболее скрытным и тщательно маскирующимся
из попавших в CCСР бутовых вирусов. Это единственный из попавших в
СССР вирусов, который "переживает" теплую перезагрузку. Заражает
как 360К, так и 1.2М дискеты, а также винчестер.
Заражает дискеты емкостью как 360К, так и 1.2М. При заражении
дискет, подобно вирусу D-29 (Den-Zuk), записывает хвост на
дополнительную дорожку (41 для 360К дискет, 81 для 1.2М дискет).
При заражении дискеты проверок, занят ли указанные сектора
информацией или нет, вирус не выполняет. Поэтому на дискете,
содержащей на 41 дорожке какую-то информацию (например "замок"
защиты от копирования), она будет уничтожена. Как обычно, для
заражения достаточно единственно обращения к дискете при
резидентном вирусе.
Похоже автор был знаком с особенностями формата 1.2M очень
слабо. Распознавание дискет 1.2M выполняется некорректно - с
помощью попытки чтения 17 сектора. Поэтому возможно распознавание
дискет 1.2М как 360 и "вклеивание" тела вируса в середину дискеты
с соответствующими последствиями.
Более того, при попытке разметить дискету 1.2M на зараженной
машине начинаются "фокусы": из меню PC TOOLS этот формат может
пропасть, размеченные дискеты сбоят и т.д. Эта характерная
особенность данного вируса может служить достаточно надежным
признаком зараженности машины данным вирусом.
При заражении винчестера голова вируса записывается в не в
бутсектор раздела С, а в абсолютный начальный сектор диска,
который на винчестере содержит Partition Table (таблицу разделов
диска), т.е. аналогично вирусу M-05 (Stoned). При этом хвост
вируса располагается в восьми секторах начиная с абсолютного
адреса 0/0/2, т.е. сектора, следующего за MBR (как уже отмечалось,
обычно эти сектора представляют собой неиспользуемое пространство
между MBR и началом логического диска С). Из этих восьми секторов
6 заняты собственно хвостом вируса, следующий седьмой сектор -
пустой, а восьмой содержит оригинальный MBR. Как и при заражении
дискеты, при заражении винчестера вирус не проверяет содержимое
этих секторов при заражении винчестера. Такое поведение вируча
можно рассматривать как лишний аргумент в пользу использования
программы MIRROR в AUTOEXEC.BAT: если эти сектора содержат какуюто
важную информацию (как например, при использовании ADM), она
будет уничтожена, при загрузке машина зависнет и можно
восстановить эти сектора с помощью PCBACKUP. Если начальные
сектора периодически копируются на дискету с помощью Norton
Utilities, то их можно восстановить из соответствующего файла.
Впрочем помимо резервирования копии с помощью MIRROR некоторые
фаги умеют исправлять эту ошибку.
Зараженный MBR при резидентном вирусе не виден. Механизм
обеспечения данного эффекта уже описывался применильно к вирусу
BRAIN: вирус анализирует запросы к винчестру и перенаправляет
операцию чтения нулевого сектора на сектор, где хранится
"спрятанная" Partition Table.
В памяти вирус размещается в старших адресах, "откусывая" у MS
DOS 6 Кб. Вирус перехватывает прерывания 8, 9, 13 и 21 - почти как
какой-нибудь файловый вирус.
Как уже указывалось, отличительной особенностью данного вируса
является то, что он перехватывает прерывание от клавиатуры, что
позволяет этому вирусу "выживать" при теплой перезагрузке (с
помощью Ctrl-Alt-Del).
Исторические замечания. Вирус WM-1F впервые был обнаружен в
Индии в июне 1990 года. В нашей стране появился уже в июле. Автору
был передан Д.Н.Лозинским. По данным П.Хоффман, начиная с конца
1989 года в Индии активно разрабатываются бутовые вирусы и не
исключено, что подобно тому как Болгария является основным
поставщиком файловых вирусов для СССР, на ту же роль для бутовых
вирусов скоро сможет претендовать Индия.
Неформальные названия. Полидетектор SCAN называет данный вирус
"Joshi". Среди других названий отметим Happy Birthday - С днем
рожденья.
Методы и программные средства защиты. Рекомендуемые детекторы и
полифаги приведены в прил.2. В частности, в качестве детектора для
данного типа вируса можно использовать полидетектор SCAN, а в
качестве фага - полифаг Е.Сусликова K32.COM. Следует отметить, что
начиная с версии 36 в полифаге AIDSTEST предусмотрена возможность
исправлять Partition Table даже в довольно сложных случаях.
Дамп MBR винчестера, зараженного вирусом WB-1F
000: EB1F90C007E99900 021B0300C8E40080 ................
010: 7F007C00001E5080 FC02721780FC0002 ..|...P...r.....
020: 80FA8CC88ED88ED0 BC00F0FBA11304B1 ................
030: 06D3E08EC0B80002 2D2100BF0000BE00 ........-!......
040: 7C03F003F8B97901 2BC8FCF3A675108C |.....y.+....u..
050: C00520008EC0BB00 000653B80100CBA1 .. .......S.....
060: 13042D0600A31304 B106D3E08EC0BE00 ..-.............
070: 7CBF0000B90002FC F3A48CC00520008E |............ ..
080: C0BB000006530E1F B402B0018A2E1E7C .....S.........|
090: 8A0E1F7CB6008A16 207C50B800B88ED8 ...|.... |P.....
0A0: 585053515206CD13 075A595B58731050 XPSQR....ZY[Xs.P
0B0: 53515206B400CD13 075A595B58EBE2FE SQR......ZY[X...
0C0: C181C300021E0E1F 508AC12A061F7C2C ........P..*..|,
0D0: 08581F72CCB80000 CB00000000000000 .X.r............
0E0: 0000000000000000 0000000000000000 ................
*** расположенные далее байты вирусом не меняются ***
8. БУТОВЫЕ ВИРУСЫ, ИЗВЕСТНЫЕ ТОЛЬКО ПО ЛИТЕРАТУРЕ
Некоторые из упоминаемых в зарубежной литературе бутовых вирусов
пока в СССР выделены не были. В прил.4 приводятся собранные
автором сведения о таких вирусах. Интересно отметить, что если
файловые вирусы имеют, в основном западное происхожение, то
бутовые - восточное (Индия, Индонезия, Новая Зеландия, Пакистан,
Сингапур, Тайвань, Южная Корея). Учитывая, что из Индии,
Сингапура, Тайваня, Южной Кореи мы получаем основную массу
персональных компьютеров, шансы на быстрое появление этих вирусов
в нашей стране весьма высоки.
8.1. Смешанные бутово-файловые вирусы
Данный тип вирусов является попыткой увеличить выживаемость
бутовых вирусов при наличии средств входного контроля.
Действительно, поскольку бутовый вирус запускается до MS DOS, то
он может беспрепятственно стать резидентным, а затем уже пытаться
обходить средства слежения за операциями ввода/вывода. В то же
время размножение по типу файлового вируса создает значительно
лучшие шансы проникновения на новые компьютеры. Первой, хотя и
неполной, попыткой реализации вируса рассматриваемого типа можно
считать вирус Ghostballs
8.1.1. Вирус C-2351 (Ghostballs - Мячик призрака)
Данный вирус является комбинацией Венского вируса и Пинг-Понга.
Файловая часть вируса основана на С-648 и при запуске зараженной
программы заражает бутсектор дискеты или винчестера бутовой
частью, основанной на вирусе Bx1-1C, в которой сохранен визуальный
эффект двужущегося светлого пятна, однако отсутствует способность
к размножению. При этом, если бутсектор восстановлен каким-нибудь
фагом, то он повторно заражается при первом же запуске зараженной
программы.
Исторические сведения. Вирус был обнаружен в октябре 1989 г. в
Исландии известным исландским вирусологом Фридрихом Скуласоном
(Fridrik Skulason).
Неформальные названия: Ghost Boot, Ghost COM
Методы обнаружения и средства защиты. Средства обнаружения и
защиты. Детектируется Scan (версии 66+), Для удаления бутовой
части можно использовать команду SYS.
8.1.2. Вирус RCE-2560 (Virus-101)
Данный вирус является первым известным резидентным вирусом с
самомодифицирующимся инсталлятором и первым, заражающим наряду с
файлами, бутсектор. Вирус заражает файлы только на дискетах. Если
на дискете нет файла, который можно заразить, то он заражает
бутсектор.
Исторические сведения. Вирус написан Патриком Толме (Patrick
Toulme) в январе 1990 г. в качестве "учебного пособия" и автор
некоторое время распространял за плату исходный текст вируса.
Неформальные названия: Virus-101
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления бутовой части можно использовать команду SYS.
8.1.3. Вирус RC-1253 (AntiCad, V-1)
Данный вирус заражает как COM-файлы, так и бутсектор дискет и
MBR винчестера. При выполнении зараженной программы вирус
инсталллируется в младшие адреса свободной памяти и виден как
дополнительная резидентная программа, занимающая 2128 байтов
(общий размер системной памяти не изменяется) и перехватывающая
прерывания 08, 13, 21, 60. Затем вирус заражает MBR винчестера или
бутсектор дискеты в зависимости от конфигурации компьютера.
Являясь резидентным вирус заражает каждый выполняемый COM-файл,
дописываясь в конец файла и вставляяя в начало файла команду
перехода. Размер зараженных файлов увеличивается на 1253 байта.
При этом вирус не делает попытки скрыть это увеличение. Признаком
зараженности файла является строка "V-1" (562D31), расположенная
с четвертого байта, сразу после команды перехода.
Если при резидентном вирусе выполняется доступ к дискете, то
бутсектор заражается вирусом. в частности, отформатированные на
зараженном компьютере дискеты уже заражены. Куда вирус прячет
хвост в настоящее время не известно.
При попытке загрузки с зараженной дискеты вирус инсталллируется
по типу бутвируса, уменьшая системную память на 77840 байтов.
Характерным проявлением данного вируса является неожиданные
попытки доступа к неативным флоппи дискам при форматировании.
Например, если форматируется дискета в дисководе А, то зажигается
лампоска в дисководе B. Фаза проявления заключается в уничтожении
соержимого дискеты или винчестера и наступает, по данным П.Хоффман
24 Декабря. Уничтоженная дискета имеет повторяющуюся структуру из
девяти сеторов.
Исторические сведения. Вирус обнаружен в августе 1990 г. в
Австрии и, по-видимому, там же и написан.
Неформальные названия: Помимо приведенных выше отсутстуют.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления бутовой части можно использовать команду SYS.
8.1.4. Вирус RCE-1040 (Anthrax)
Неформальное название данного вируса связано с тем, что в теле
вируса имеются имеются текстовые строки "©Damage, Inc." и
"ANTHRAX". Формально данный вирус относится с смешанным файловобутовым
резидентным вирусам. Заражает как COM-, так и EXE-файлы,
включая COMMAND.COM. Помимо этого заражает MBR винчестера и
бутсектор дискет.
При заражении файлов их длина увеличивается на 1040 - 1232
байтов. При выполнении зараженной программы вирус инсталлируется в
оперативной памяти, однако в отличие от большинства известных
вирусов не начинает заражать файлы немедленно. Только после того,
как некоторое наступает некоторое событие, по видимому связанное с
количеством введенных с кавиатуры символов, он начинает заражать
по одному файлу при каждом выполнении какой-нибудь программы. При
этом заражается не сама выполняемая программа, а другой файл
выбираемый вирусом для заражения сначала на диске С, начиная с
корневого каталога и далее по всему делеву каталогов, затем на
диске D и т.д.
Детали заражения дискет и бутсектора неясны.
Проявления вируса в настоящий момент неизвестны.
Исторические сведения. Вирус был выделен в Нидерландах в июле
1990 г. Он был загружен в несколько BBS с троянской копией
антивирусной программы USCAN.ZIP. Это третий в 1990 г. вирус,
распространявшийся с троянской копией антивирусной программы.
Первыми двумя бы
...Закладка в соц.сетях
