Компьютерная вирусология ч. 1
страница №31
...10.3.5. Переписывая программы, различайте эталонную и рабочую
копию
10.4. Методика применения средств защиты
10.4.1. Типичные ошибки
10.4.2. Методика применения детекторов
10.4.2.1. Использование Norton Utilities и PCTools как
универсальных детекторов вирусов
10.4.2.2. Поиск текстовых сигнатур
10.4.3. Методика применения фагов
10.4.4. Методика использования резидентных сторожей
10.4.5. Методика использования ревизоров
10.4.6. Вакцинирование
10.4.7. Критерии оценки качества антивирусных программ
10.4.7.1. Критерии оценки качества детекторов
10.4.7.2. Сравнительный анализ полифагов
10.4.7.3. Критерии оценки и сравнительный анализ ревизоров
10.4.7.4. Сравнительный анализ вакцин
10.4.7.5. Критерии оценки сторожей
10.4.8. О первом конкурсе антивирусных программ, распространяемых
бесплатно
10.4.8.1. Оценки и рекомендации жюри по полифагам
10.4.8.1.1. A I D S T E S T
10.4.8.1.2. D O C T O R
10.4.8.2. Оценки и рекомендации жюри по детекторам и ревизорам
10.4.8.2.1. D L I
10.4.8.2.2. V L
10.4.8.3. Оценки и рекомендации жюри по сторожам и вакцинам
10.4.8.3.1. S B M и C H E C K 2 1
10.5. Отдельные приемы защиты
10.5.1. Регулярно оптимизируйте винчестер
10.5.2. Прятать новые версии антивирусных программ просто
невыгодно
10.5.3. Нормальное состояние дискеты - защищенное от записи
10.5.4. Как работать на зараженном файловым вирусом компьютере при
отсутствии вакцины
10.5.5. При хранении антивирусных программ на винчестере
используйте архивирование
10.5.6. Использование макетов программ типа DUMYxxxx для
определения место нахождения спрятанных байтов
10.6. Методика восстановления информации
10.6.1. Создайте и отработайте план восстановления винчестера !
10.6.2. Если что-то случилось - избегайте поспешных действий
10.6.3. Советы по восстановлению информации
10.7. Некоторые организационные меры защиты
10.8. Юридические методы защиты от компьютерных вирусов
10.8.1. Некоторые судебные процессы над кракерами и разработчиками
вирусов
11. ЗАКЛЮЧЕНИЕ
ЛИТЕРАТУРА
ПРИЛОЖЕНИЕ 1. Классификационная таблица файловых вирусов, обнаруженных в
CCСР
ПРИЛОЖЕНИЕ 2. Классификационная таблица бутовых вирусов, обнаруженных в
CCСР
ПРИЛОЖЕНИЕ 3. Классификационная таблица файловых вирусов, известных
только по литературе
ПРИЛОЖЕНИЕ 4. Классификационная таблица бутовых вирусов, известных
только по литературе
ПРИЛОЖЕНИЕ 5. Перечень отечественных антивирусных средств, помещенных в
выпусках электронного бюллетеня СОФТПАНОРАМА
ПРИЛОЖЕНИЕ 6. Некоторые сведения о файловой системе MS DOS
ПРИЛОЖЕНИЕ 7. Исполняемые файлы и связанные с ними системные блоки
ПРИЛОЖЕНИЕ 8. Прерывания MS DOS
ПРИЛОЖЕНИЕ 9. Наиболее часто используемые функции MS DOS
-----------------T---------T---T-T-T---------------------------------------------T--------------------------------------------¬
¦ ¦ Г ¦Р¦Д¦ Дескриптор, сигнатуры и фаги данного вируса ¦ ¦
Неформальные ¦Классифи-¦ р ¦а¦и+--T------------------------------------------+ Страна и дата обнаружения, ¦
названия ¦кационный¦ у ¦с¦н¦B ¦ ¦ фамилия исследователя обнаружевшего ¦
¦код ¦ п ¦п¦а¦и ¦ Значение ¦ и изолировавшего вирус (если известны), ¦
¦вируса ¦ п ¦р¦м¦д ¦ ¦ вызываемые эффекты ¦
¦ ¦ а ¦о¦и¦ ¦ ¦ ¦
¦ ¦ ¦с¦к¦ ¦ ¦ ¦
¦ ¦ ¦т¦а¦ ¦ ¦ ¦
¦ ¦ ¦р¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦ Kemerovo-Reset ¦ C-257 ¦ ¦1¦ ¦D ¦Ar Ba Cy Dt Itc K1 Mn Sc ¦СССР (Кемерово), июль 1990, Сусликов Е. ¦
¦ (Кемеровская ¦ ¦ ¦ ¦ ¦P ¦ ¦Заражает все COM-файлы в текущем каталоге. ¦
¦ перезагрузка) ¦ ¦ ¦ ¦ ¦B1¦ ¦Иногда вызывает перезагрузку MS DOS. Не ¦
¦ ¦ ¦ ¦ ¦B2¦5A 52 89 D6 81 C6 C1 00 89 D8 2D 04 00 ¦закрывает файлы, открываемые файлы (по ¦
¦ ¦ ¦ ¦ ¦T ¦*.COM ¦одному на заражаемую программу), причем ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦открыть их может очень много. Портит время ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Не блокирует сообщения о защите от записи. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Зараженные программы теряют способность ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦обрабатывать параметры. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
IV-345 ¦ C-345 ¦IV ¦1¦~¦D ¦Ab Bat Cy Dn Ee Ihc K1 Li Mn Sc ¦Западная Европа: 1988; СССP: 1989 ¦
$ Pixel-1 ¦ ¦ ¦ ¦ ¦P ¦0 "LenC "+oo & Atr != RH ¦Вместо исполнения зараженной программы ¦
¦ ¦ ¦ ¦ ¦B ¦508CC80500108EC0FE060401BE000133FFB95901 ¦часто выдается сообщение T2 ¦
¦ ¦ ¦ ¦ ¦C ¦0501B90600B44ECD21724BBA2F01B802 ¦(см., также штаммы С-740 и С-840) ¦
¦ ¦ ¦ ¦ ¦T1¦*.COM ¦ ¦
¦ ¦ ¦ ¦ ¦T2¦Program sick error:Call doctor ¦ ¦
¦ ¦ ¦ ¦ ¦+ ¦ or buy PIXEL for cure description ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦AIDSTEST,-V,AV,K32 ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦ Attention ¦ RC-394 ¦ ¦1¦ ¦D ¦An Bn Cy Dy Ee Itc Mh She Za(z)h ¦СССР: Минск - 07.90 (Сотников С.), ¦
¦ (Внимание) ¦ ¦ ¦ ¦ ¦P ¦ ¦Москва - 08.90. ¦
¦ ¦ ¦ ¦ ¦ ¦H ¦21,24 ¦При заражении файлов на защищенном от записи¦
¦ ¦ ¦ ¦ ¦J ¦ ¦диске, вне зависимости от диска, к которому ¦
¦ ¦ ¦ ¦ ¦B ¦81 FC 00 01 77 02 33 E4 8B E8 E8 00 00 ¦идет обращение, трижды включается мотор ¦
¦ ¦ ¦ ¦ ¦T ¦ATTENTION ! ¦дисковода А. Зараженные файлы, начиная с ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦4-го байта, содержат строку "ATTENTION !". ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Имеется два почти идентичных штамма ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦ LoveChild ¦ RC-488 ¦!!!¦ ¦ ¦D ¦Aak Bn Seo ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦P ¦ ¦СССР, август 1990 г. ¦
¦ ¦ ¦ ¦ ¦H ¦21-3C, 21-3D, 21-4B 21-5B ¦Заражает файлы с расширением при их ¦
¦ ¦ ¦ ¦ ¦B ¦B8 42 02 5B 53 33 C9 8B D1 CD 21 05 12 00 ¦загрузке в память, при открытии ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦создании, длин файлов не проверяет. ¦
¦ ¦ ¦ ¦ ¦T1¦v2 © Flu Systems (R) ¦Изменяет первые 4 байта файла на команды ¦
¦ ¦ ¦ ¦ ¦T2¦LoveChild in reward for software sealing ¦STI; JMP VirStart. При инсталляции ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦записывает свое тело во вторую часть таблицу¦
¦ ¦ ¦ ¦ ¦ ¦ ¦векторов прерываний, по адресу 0000:01E0. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦В зависимости от счетчика времени может ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦уничтожать файлы или создавать вместо файла ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦подкаталог с таким же именем. Вирус ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦периодически модифицирует COM-файлы таким ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦образом, что их запуск вызовет стирание ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦секторов винчестера (стирается вся ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦информация, расположенная на всех секторах, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦соответствующих 0-3 головкам записи/чтения).¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
492, ¦ RC-492 ¦Int¦1¦"¦D ¦Ac Ba Cy Dy Es Itp K1 L492 Sce ¦CCCP(Москва, ВЦ АН СССР): июль 1990, ¦
sI ¦ ¦ ¦ ¦ ¦P ¦0 "LenC "+oo & Atr != RH & CPU"=80286 ¦Н.Н.Безруков ¦
¦ ¦ ¦ ¦ ¦H ¦1C, 21 ¦Простой, плохо отлаженный вирус. ¦
¦ ¦ ¦ ¦ ¦J ¦2E8B1E010183C303B104D3EB8CD803C3 ¦Уничтожает несколько секторов на диске, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦выбирая их случайным образом и записывая ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦в них содержимое участка оперативной памяти ¦
¦ ¦ ¦ ¦ ¦F ¦-V, NEATFAG, K32 ¦Копирует себя в область векторов прерываний,¦
¦ ¦ ¦ ¦ ¦ ¦ ¦начиная с 0000:0200h ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦На PC/XT не работоспособен. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦ 13 месяц-Б, ¦ С-507 ¦Ven¦1¦ ¦D ¦An Ba Cy Dm13 Ee Itc Jn K1 Li Mn Ry Sc ¦Польша: 1988 ¦
¦ Toothless-B ¦ ¦ ¦ ¦ ¦DP¦256 " LenC ¦Штамм вируса С-534. При заражении программы ¦
¦ (Беззубый), ¦ ¦ ¦ ¦ ¦T1¦????????COM ¦изменяет ее дату с установкой месяца на 13 ¦
¦*# W13-B ¦ ¦ ¦ ¦ ¦T2¦Мicrosoft ¦(признак зараженности). Заражает файлы толь-¦
¦ ¦ ¦ ¦ ¦ ¦F ¦MKS_VIR ¦ко в текущем каталоге. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*#$ 512 ¦ RC-O-512¦DAv¦1¦"¦D ¦Cy ¦Болгария: ноябрь 1989, Весселин Бончев(?) ¦
¦ ¦ ¦!!!¦ ¦ ¦M1¦8B D8 53 B8 20 12 CD 2F 26 8A 1D B8 ¦ВНИМАНИЕ !!! Очень опасный и скрытно размно-¦
¦Number of the ¦ ¦ ¦ ¦ ¦M2¦01 8C 45 70 1F 89 57 14 8C CA 8E DA ¦жающийся вирус второго поколения. ¦
¦Beast Virus, ¦ ¦ ¦ ¦ ¦C ¦1EC54408720AB413CD2F1E52CD2F581F ¦Первый сегментированный вирус, хранящий ¦
¦(вирус апокалип- ¦ ¦ ¦ ¦ ¦T ¦666 ¦хвост в свободном секторе последнего класте-¦
¦сического числа),¦ ¦ ¦ ¦ ¦ ¦ ¦ра, распределенного зараженному файлу. ¦
¦Stealth Virus ¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦При инсталляции в оперативной памяти занима-¦
¦(Стелс вирус) ¦ ¦ ¦ ¦ ¦ ¦ ¦ет часть памяти, отведенной под буфера. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
529, ¦RС-529 ¦Ier¦1¦ ¦D ¦An Bn Cn Dn Ee Ihc Jn K1 Lx Mn Se ¦CCСР (Ленинград): весна 1989, Лозинский Д.Н.¦
Peterburg, ¦ ¦/ВП¦ ¦ ¦P ¦529 " LenC " +oo ¦Возможно, штамм RСЕ-1813,однако не исключено¦
Пакость-1 ¦ ¦ ¦ ¦ ¦B ¦B815CA8B361B01BF00018B0E1D018B1E19 ¦что наоборот - одна из ранних версий ¦
¦ ¦ ¦ ¦ ¦F ¦AIDSTEST, AV ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
13 месяц, ¦ С-534 ¦Ven¦2¦ ¦D ¦An Ba Cy Dm13 Ee Itc Jn K1 Li Mn Sc Za ¦Польша: 1988. ¦
Микро-88 ¦ ¦ ¦ ¦ ¦P ¦529 " LenC " MaxC ¦Штамм вируса С-648. При заражении программы¦
Toothless Virus, ¦ ¦ ¦ ¦ ¦B ¦D681C60000FCB90300BF0001F3A48BFAB4 ¦изменяет ее дату с установкой месяца на 13 ¦
(Беззубый), ¦ ¦ ¦ ¦ ¦M1¦F3 A4 8B FA B4 30 CD 21 3C 00 ¦(признак зараженности) В отличие от С-648 ¦
*# W13 ¦ ¦ ¦ ¦ ¦T1¦????????COM ¦заражает файлы только в текущем и корневом ¦
¦ ¦ ¦ ¦ ¦T2¦Мicrosoftyright ¦каталогах. ¦
¦ ¦ ¦ ¦ ¦T3¦Microsoft 1988 ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦AV, -V, AIDSTEST ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦ 600, ¦ RC-600 ¦Ier¦1¦ ¦D ¦An Ba Cy Dn Ee Ihc Jn K1 Li Mc Se ¦Днепропетровск, май 1990, А.Сесса. ¦
¦ Пакость-2 ¦ ¦ ¦ ¦ ¦P ¦600 "LenC "+60000 & Atr != RH ¦Штамм RCE-529. Обработчик аномальных ¦
¦ ¦ ¦ ¦ ¦ ¦H ¦21 ¦завершений содержит ошибку из-за которой ¦
¦ ¦ ¦ ¦ ¦B ¦BE1001B932008A2480F4DD882446E2F6 ¦иногда выдаются сообщения Abort, Retry ... ¦
¦ ¦ ¦ ¦ ¦T1¦ctsqu ¦Часть тела вируса шифруется. ¦
¦ ¦ ¦ ¦ ¦T2¦I46+##* ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦-V, K32, NEATFAG ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
*# VHP2, ¦ С-623 ¦Ven¦1¦ ¦D ¦An Bn Cn Ds62 Ee Itc Jn K1 Li Sp ¦СССР, 1989, Лозинский Д.Н. ¦
VHP-623, ¦ ¦ ¦ ¦ ¦P ¦10 " LenC " MaxC ¦Штамм вируса С-648. Отличается наличием ¦
Vienna-623 ¦ ¦ ¦ ¦ ¦B ¦B42FCD21891C8C4402B82435CD21899C8F00 ¦обработки ненормальных окончаний. В ¦
(Вена-623) ¦ ¦ ¦ ¦ ¦T1¦*.COM ¦"убиваемые" модули пишется вместо ¦
¦ ¦ ¦ ¦ ¦T2¦PATH= ¦перезагрузки переход по адресу C000:0000. ¦
¦ ¦ ¦ ¦ ¦T3¦????????COM ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦ ¦ C-644 ¦Vn ¦1¦ ¦D ¦An Bn Cn Dy Ee Itc Jn K1 Li Sc ¦СССР(Москва): Лозинский Д.Н. ¦
¦ ¦ ¦ ¦ ¦ ¦P ¦10 " LenC " MaxC ¦Первые 20 минут каждого часа заражает ¦
¦ ¦ ¦ ¦ ¦ ¦B ¦ ¦COM-файлы в текущем каталоге, при условии, ¦
¦ ¦ ¦ ¦ ¦ ¦T1¦*.COM ¦что он не является корневым. Портит время ¦
¦ ¦ ¦ ¦ ¦T2¦PATH= ¦создания файла ¦
¦ ¦ ¦ ¦ ¦T3¦????????COM ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
*$ Vienna-A ¦ С-648A ¦Ven¦5¦"¦D ¦Arbk Ba Cy Ds Ee Itc Jn K1 Li Sс Zb ¦Австрия, апрель 1988. СССР: август 1988 ¦
(Вена-А), ¦ ¦ ¦ ¦ ¦P ¦10 " LenC " MaxC ¦Поражает примерно каждый восьмой заражаемый ¦
DOS-62 ¦ ¦ ¦ ¦ ¦M ¦8BFE81C71F008BDE81C61F00 Штамм A ¦файл, так что при его запуске инициируется ¦
(ДОС-62), ¦ ¦ ¦ ¦ ¦M ¦8BFE83C71F908BDE83C61F90 Штамм B ¦перезагрузка MS DOS. При поражении ¦
Rebooter ¦ ¦ ¦ ¦ ¦I ¦FC8BF281C60A00BF0001B90300F3A4 ¦COMMAND.COM или программы, входящей в ¦
(перезагрузчик),¦ ¦ ¦ ¦ ¦+ ¦8BF2B430CD213C007503E9C701 ¦AUTOEXEC.BAT, происходит зацикливание на ¦
Time Bomb ¦ ¦ ¦ ¦ ¦J ¦51 ** ** ** FC 8B F2 81 C6 0A 00 BF 00 01 ¦перезагрузке MS DOS. Один из наиболее ранних¦
(часовая мина),¦ ¦ ¦ ¦ ¦T1¦*.COM ¦и распространенных в Европе и СССР вирусов. ¦
UNESCO(ЮНЕСКО)¦ ¦ ¦ ¦ ¦T2¦PATH= ¦Имеются многочисленные штаммы. Пик эпидемии ¦
Wiener (Винер)¦ ¦ ¦ ¦ ¦T3¦????????COM ¦в СССР отмечен в начале 1989 года. ¦
¦ ¦ ¦ ¦ ¦F ¦AIDSTEST, AV ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
IV-740 ¦ C-740 ¦IV ¦1¦ ¦D ¦An Ba Cy Dn Ee Ihc Km Li Mn Sc ¦Многократно заражает программы ¦
¦ ¦ ¦ ¦ ¦P ¦0 "LenC "+oo & Atr != RH ¦(см., также штаммы С-345 и С-847) ¦
¦ ¦ ¦ ¦ ¦B ¦8EC0FE060501BE000133FFB9E400F3A4BAF4BAF401¦ ¦
¦ ¦ ¦ ¦ ¦T1¦*.COM ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦AIDSTEST, AV ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
IV-847, ¦ C-847 ¦IV ¦1¦ ¦D ¦An Babt Cy Dn Ee Ihc K1 Li Mn Sc ¦1988 ¦
*$ Amstrad Virus ¦ ¦ ¦ ¦ ¦P ¦0 "LenC "+oo & Atr != RH ¦Вместо исполнения зараженной программы ¦
(Амстрад) ¦ ¦ ¦ ¦ ¦M1¦1F BA 4F 03 B9 FF FF B4 ¦часто выдается сообщение T2 (см., также ¦
¦ ¦ ¦ ¦ ¦M2¦72 02 EB 36 76 BA 80 00 B4 1A CD 21 80 ¦штаммы С-345 и С-740) На Западе известна ¦
¦ ¦ ¦ ¦ ¦B ¦8EC0FE060501BE000133FFB94F01F3A4BAF4BA5F02¦модификация, в которой вместо сообщения T2 ¦
¦ ¦ ¦ ¦ ¦C ¦4ECD217260BA7D02B8023DCD21A31401 ¦выводится реклама компьютеров фирмы Amstrad ¦
¦ ¦ ¦ ¦ ¦T1¦*.COM ¦ ¦
¦ ¦ ¦ ¦ ¦T2¦Program sick error:Call doctor ¦ ¦
¦ ¦ ¦ ¦ ¦+ ¦ or buy PIXEL for cure description ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦AIDSTEST, AV ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦ Bebe (Бебе) ¦ C-1024 ¦ ¦1¦ ¦D ¦Ab Bt Cy Dn Ee Itc K1 Li Mn Sc ¦СССР 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦B1¦50 0E 8C C8 2E 01 06 0C 01 EA ¦Поражает файлы с расширением COM в текущем ¦
¦ ¦ ¦ ¦ ¦B2¦ ¦каталоге. Создает резидентную программу, ¦
¦ ¦ ¦ ¦ ¦T1¦г======== VIRUS ! ======¬ ¦по адресу 0000:01CE-0000:03EB, которая через¦
¦ ¦ ¦ ¦ ¦T2¦¦ Skagi "bebe" " ¦ ¦10 мин.после загрузки выводит на экран сооб-¦
¦ ¦ ¦ ¦ ¦T3¦L=======================- ¦щение T1-T3 и из-за ошибки зацикливается. ¦
¦ ¦ ¦ ¦ ¦T4¦Fig Tebe ! ¦Машину приходится перегружать кнопкой RESET ¦
¦ ¦ ¦ ¦ ¦T5¦*.COM ¦или выключением питания. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
TP-5, ¦RCE-1206 ¦TP ¦3¦"¦D ¦An Bh Cy Dn Es Itp-tp Jj K12 Li Se ¦Болгария: начало 1989. ¦
Vacsina-5 ¦ ¦ ¦ ¦ ¦P ¦1212 " LenCE " MaxC & FIRST='E9' ¦EXE-файлы заражаются в два этапа: сначала ¦
(Вакцина-5), ¦ ¦ ¦ ¦ ¦H ¦21 ¦увеличиваются на 132 байта, "переделываясь" ¦
* Vacsina ¦ ¦ ¦ ¦ ¦M1¦17 26 C5 B5 00 01 83 C7 ¦из EXE в COM для системы (суффикс EXE не ¦
(Вакцина) ¦ ¦ ¦ ¦ ¦M2¦B8 01 43 8E 5E 0E 8B 56 06 2E ¦меняется), а затем заражаясь как COM-файлы. ¦
¦ ¦ ¦ ¦ ¦C ¦26A1C5003D7F39750826A0C7003C0573 ¦Поражаются файлы до 63К. Создает скрытый ¦
¦ ¦ ¦ ¦ ¦T ¦VACSINA ¦файл на диске. ¦
¦ ¦ ¦ ¦ ¦B ¦F47A05 ¦При заражении файла раздается звуковой сиг- ¦
¦ ¦ ¦ ¦ ¦F ¦AIDSTEST,AV,-V,K32 ¦нал (BELL). ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+---------+---+-+-+--+------------------------------------------+--------------------------------------------+
TP-4, ¦RCE-1212 ¦TP ¦3¦"¦D ¦An Bmh Cy Dr Es Itp-tp Jj K12 Li Se ¦Болгария: начало 1989 (В.Бончев); ¦
Vacsina-4 ¦ ¦ ¦ ¦ ¦P ¦1212 " LenCE " MaxC & FIRST='E9' ¦СССР: весна 1989 (В.Котик). ¦
(Вакцина-4), ¦ ¦ ¦ ¦ ¦H ¦21 ¦Практически идентичен RCE-1805 (TP-5). ¦
* Vacsina ¦ ¦ ¦ ¦ ¦M1¦17 26 C5 B5 00 01 83 C7 ¦Произвольно изменяет дату создания файла. ¦
¦ ¦ ¦ ¦ ¦M2¦B8 01 43 8E 5E 0E 8B 56 06 2E ¦...