Компьютерная вирусология ч. 1
страница №41
...ктивные действия отсутствуют. ¦¦ ¦ ¦ ¦ ¦ ¦ ¦Использует кодировку инсталлятора для ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦того, чтобы избежать обнаружения простыми ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦детекторами, основанными на контекстном ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦поиске. Известен автор (Patrick Toulme). ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Задуман как демоверсия - заражает файлы ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦только на дискетах. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*$ Oropax ¦RC-2756 ¦ ¦1¦ ¦D ¦Bm Cy Itp51 ¦ФРГ (Гамбург): 02.89 ¦
¦ (Оропакс), ¦ ¦ ¦ ¦ ¦M ¦3E 01 1D F2 77 D1 BA 00 ¦Польша: 1990. ¦
¦ Music Virus ¦ ¦ ¦ ¦ ¦C ¦3E070100744CB42ACD2181F9C307720A ¦Приращение зараженного файла случайно и ¦
¦ (музыкальный) ¦ ¦ ¦ ¦ ¦ ¦ ¦колеблется в диапазоне 2756-2807 байт. ¦
MUZYKANT ¦ ¦ ¦ ¦ ¦ ¦ ¦Обычно приращение равно 2773 байт Заражает ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦файлы при любой дисковой операции (при ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦обращении по функциям 13H, 16H, 17H, 39H, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦3AH, 3CH, 3DH, 41H, 43H, 46H 21 прерывания ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦используемыми командами COPY,RD,MD,DEL,REN ¦
¦ ¦ ¦ ¦ ¦F ¦MKS_VIR ¦MS DOS). Для заражения ищет COM-файл в ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦главном каталоге текущего диска и его ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦подкаталогах. На компьютерах типа PC AT ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦после 1.05.87 через 5 минут после ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦инфицирования файла вирус играет 3 разные ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦мелодии с 7 минутным интервалом между ними. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Длина зараженных файлов всегда кратна 51. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# Liberty ¦RCE-2862 ¦ ¦1¦ ¦D ¦Cy Itp Mc Se To ¦Австралия (Сидней): май 1989 ¦
¦ ¦ ¦ ¦ ¦ ¦HR¦21 ¦Проявления неизвестны ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦2K " LenC; 0 " LenE ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦h 8K ¦ ¦
¦ ¦ ¦ ¦ ¦M ¦E8 FD FE 72 2A 3B C1 7C 27 E8 ¦ ¦
¦ ¦ ¦ ¦ ¦T ¦Liberty ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# Taiwan 3 ¦RCE-2900 ¦Ier¦ ¦ ¦D ¦Se To ¦Тайвань: июнь 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦HR¦21 ¦Возможны зависания системы. Другие проявле- ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦L 3152 ¦ния неизвестны. ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦17 0F 32 0A 32 0A 90 0B FB 08 ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*$ 2930, ¦RCE-2930 ¦Ier¦1¦ ¦D ¦ Cn Li Se ¦Испания, октябрь 1989 ¦
¦# Traceback II ¦ ¦ ¦ ¦ ¦M ¦14 8B 4D 16 8B C1 8A CD ¦Pанняя версия вируса RCE-3066 (Traceback) ¦
¦ (Обратное ¦ ¦ ¦ ¦ ¦I ¦E82906E8E005B419CD218884E30 ¦Поведение и проявления практически полностью¦
¦ прослеживаниеII)¦ ¦ ¦ ¦ ¦+ ¦0E8CE048A95E2000E1F7509 ¦совпадают. Код практически идентичен. ¦
¦ Spanish virus ¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ ¦
¦ (Испанка) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦# Traceback II-B ¦RCE-2930b ¦Ier¦1¦ ¦D ¦Cy ¦Штамм заражающий COMMAND.COM. После начала ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦падения букв через некоторое время система ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦зависает ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# Plastique, ¦RCE-3012 ¦Pla¦ ¦ ¦D ¦Cn Itc-tp Mc Seo ¦Тайвань: июль 1990 ¦
¦ Plastic Bomb, ¦ ¦ ¦ ¦ ¦HR¦21 ¦Помимо размножения других эффектов не отме- ¦
¦ (Пластиковая ¦ ¦ ¦ ¦ ¦DR¦l 3264 ¦но ¦
¦ бомба), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ Plastique 3012¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
* 3066, ¦RCE-3066 ¦Ier¦1¦ ¦D ¦Bv Cn Li Soc2 ¦октябрь 1988 ¦
# Traceback ¦ ¦ ¦ ¦ ¦M ¦14 8B 4D 16 8B C1 8A CD ¦При выполнении зараж. программы инсталлиру- ¦
(Обратное ¦ ¦ ¦ ¦ ¦I ¦E87106E82806B419CD2189B4510 ¦ется в оперативной памяти и заражает откры- ¦
прослеживание) ¦ ¦ ¦ ¦ ¦+ ¦18184510184088C8C5301 ¦ваемые программы. После 5.12.88 дополнитель-¦
¦ ¦ ¦ ¦ ¦C ¦E87106E82806B419CD2189B451018184 ¦но пытается заразить один файл находя его ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦поиском по дереву, начиная с корневого ката-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦лога. Процесс поиска оканчивается, если по- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦падается уже зараженный файл. После 28.12.88¦
¦ ¦ ¦ ¦ ¦ ¦ ¦каждый час после загрузки создает эффект па-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦дающих букв, аналогичный RC-1701. При нажа- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦тии клавиши в момент падения букв система ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦зависает. Через минуту процесс падения пре- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦кращается и буквы возвращаются на исходные ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦позиции.В теле вируса содержится полный путь¦
¦ ¦ ¦ ¦ ¦ ¦ ¦к предыдущей зараженной программе, что поз- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦воляет по цепочке выявить все инфицированные¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦программы. Отсюда и название вируса. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦# Traceback-B ¦RCE-3066b ¦Ier¦ ¦1¦D ¦Cy Li Soc2 ¦Испания: март 1990 ¦
¦ (Обратное ¦ ¦ ¦ ¦ ¦M ¦ ¦Штамм RCE-3066 заражающий COMMAND.COM. ¦
¦ прослеживание) ¦ ¦ ¦ ¦ ¦T ¦MICRODIC MSG ¦Эффект падающих букв отсутствует. Зараженные¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦файлы содержат имя самой зараженной програм-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦мы, а не предыдущей. ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
# Traceback-B2 ¦RCE-3066c ¦Ier¦ ¦1¦M ¦ ¦Испания: май 1990 ¦
(Обратное ¦ ¦ ¦ ¦ ¦T ¦" XPO DAD " ¦Практически совпадает с RCE-3066b, но эффект¦
прослеживание) ¦ ¦ ¦ ¦ ¦ ¦ ¦падающих букв присутствует. Строка ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦"MICRODIC MSG" заменена на " XPO DAD " ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
* 3551, ¦ CE-3551 ¦ ¦1¦ ¦D ¦ Cy Itp Мс ¦ ¦
Syslock ¦ ¦ ¦ ¦ ¦I ¦ D1E98AE18AC1 ¦При выполнении инфицированной программы ¦
¦ ¦ ¦ ¦ ¦+ ¦ 3306140031044646E2F25E5958C3 ¦вирус ищет во всех подкаталогах текущего ¦
¦ ¦ ¦ ¦ ¦M ¦ 3306140031044646E2F2 ¦диска очередную жертву и заражет ее. Через ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦случайные промежутки времени выдает ложное ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦диагностическое сообщение: ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ Error writing to device AUX ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Ищет в файлах строку "Microsoft" в любой ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦комбинации строчных и прописных букв и заме-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦няет ее на строку "MACROSOFT" или в некото- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦рых штаммах на строку "MACHOSOFT". ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Если переменная среды SYSLOCK = "@" (40h) ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦то вирус сразу передает управление заражен- ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ной программе ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# Fish Virus ¦RCE-03584 ¦St ¦1¦"¦D ¦ Bs Cy Mclmf So ¦Западная Германия: май 1990 ¦
¦ ¦ ¦!!!¦ ¦ ¦DR¦aw4096(без перехвата 13h) 8192 (с перех.) ¦Штамм RCE-04096. ¦
¦ European Fish ¦ ¦ ¦ ¦ ¦M ¦0E 01 CF E8 00 00 5B 81 EB A9 ¦Вирус замедляет запись в видеопамять что мо-¦
¦ ¦ ¦ ¦ ¦ ¦T ¦FISH FI /* в конце зараженных файлов, ¦жет приводить к появлению "снега" на экране ¦
¦ Fish 6 ¦ ¦ ¦ ¦ ¦ ¦ но не всегда */ ¦дисплея. При просмотре оперативной памяти ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦на зараженном компьютере видны имена рыб. ¦
¦ Stealth Virus ¦ ¦ ¦ ¦ ¦ ¦ ¦При резидентном вирусе программы, контроли- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦рующие контрольную сумму не обнаруживают ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦изменений, поскольку вирус предварительно ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦выкусывает себя из каждой зараженной прог- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦раммы ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦* ItaVir ¦ E-3880 ¦ ¦1¦ ¦D ¦Aw Itc ¦Италия(Милан), начало 1990, Andrea Omodeo, ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦B8 58 45 89 40 02 B0 00 88 40 04 ¦Massilimiano Lehmann и другие студенты Ми- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ланского политехнического института. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦В инфицированной системе имеется файл с име-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦нем *OMMAND.COM, где "*" означает непечата- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦емый символ, который содержит "чистое" тело ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦вируса, используемое для дописывания к ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦заражаемым файлам. ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦Фаза проявления наступает при определенном ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦времени работы системы без перезагрузки ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦(по видимому, случайное число " 24). ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦При этом вирус последовательно пишет во все ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦порты числа от 0 до 255, что ведет к уничто-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦жению бутсектора, различным эффектам на ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦видеомониторе (мигание, "снег" и др.). ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Кроме того затирается бутсектор и выдается ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦сообщение на итальянском языке. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# Plastique-B, ¦RCE-4096b ¦Pla¦ ¦ ¦D ¦Cn Itc-tp Mc Seo ¦Тайвань: июль 1990 ¦
¦ Plastic Bomb, ¦ ¦ ¦ ¦ ¦HR¦08, 09, 13, 21, ED ¦Более поздняя версия RCE-3012 ¦
¦ (Пластиковая ¦ ¦ ¦ ¦ ¦DR¦L 5120 ¦Помимо размножения других эффектов не отме- ¦
¦ бомба), ¦ ¦ ¦ ¦ ¦ ¦ ¦но ¦
¦ Plastique 5.21¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# TCC ¦CE-4909 ¦ ¦ ¦ ¦D ¦Cy Itp-tp Sds To ¦Франция (Париж): август 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦21 B4 3F B9 18 00 8D 16 88 02 8D 36 86 02 ¦При запуске зараженной программы вирус зара-¦
¦ ¦ ¦ ¦ ¦ ¦ +¦8B 1C ¦жает все файлы на текущем диске за исключе- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦нием очень маленьких файлов. Кроме того ви- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦рус ищет на диске С файл COMMAND.COM и если ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦он еще не заражен, то заражает его. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Другие проявления неизвестны. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# 5120, ¦СЕ-5120 ¦ ¦1¦ ¦D ¦Ba Cy Itс-tp Sct ¦Германия: май 1990. ¦
¦ VBasic, ¦ ¦ ¦ ¦ ¦M ¦10 A2 F6 0F E8 D0 FE 80 3E 4A 10 02 7D 22 ¦Вирус написан на Турбо Бейсике. ¦
¦ ¦ ¦ ¦ ¦ ¦ +¦C6 46 ¦Портит файлы данных и сращивает файлы ¦
¦ Basic Virus ¦ ¦ ¦ ¦ ¦T1¦BASRUN ¦Строки Т1-Т6 расположены в конце зараженного¦
¦ ¦ ¦ ¦ ¦T2¦BRUN ¦файла. Впрочем имеется штамм, где эти строки¦
¦ ¦ ¦ ¦ ¦T3¦IBMBIO.COM ¦закодированы ¦
¦ ¦ ¦ ¦ ¦T4¦IBMDOS.COM ¦ ¦
¦ ¦ ¦ ¦ ¦T5¦COMMAND.COM ¦ ¦
¦ ¦ ¦ ¦ ¦T6¦Access denied ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦*# Joker Virus ¦ CE-xxxx ¦ ¦ ¦ ¦D ¦Cy ¦Польша, декабрь 1989 ¦
¦ (Шутник), ¦ ¦ ¦ ¦ ¦M ¦5607450721071D49276D20736F206D7563 ¦При исполнении зараженной программы выдается¦
¦ Jocker ¦ ¦ ¦ ¦ ¦C ¦5607450721071D49276D20736F206D75 ¦выбираемое случайным образом сообщение ¦
¦ ¦ ¦ ¦ ¦ ¦T1¦Incorrect DOS version ¦T1-T18. Кроме того вирус искажает DBF ¦
¦ ¦ ¦ ¦ ¦ ¦T2¦Invalid Volume ID Format failure ¦файлы (по видимому этими же сообщениями). ¦
¦ ¦ ¦ ¦ ¦ ¦T3¦Please put a new disk into drive A: ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦T4¦End of input file ¦ ¦
¦ ¦ ¦ ¦ ¦T5¦END OF WORKTIME. TURN SYSTEM OFF! ¦ ¦
¦ ¦ ¦ ¦ ¦T6¦Divide Overflow ¦ ¦
¦ ¦ ¦ ¦ ¦T7¦Water detect in Co-processor ¦ ¦
¦ ¦ ¦ ¦ ¦T8¦I am hungry! Insert HAMBURGER into drive A¦ ¦
¦ ¦ ¦ ¦ ¦T9¦NO SMOKING, PLEASE! ¦ ¦
¦ ¦ ¦ ¦ ¦10¦ Thanks. ¦ ¦
¦ ¦ ¦ ¦ ¦11¦Don't beat me !! ¦ ¦
¦ ¦ ¦ ¦ ¦12¦Don't drink and drive. ¦ ¦
¦ ¦ ¦ ¦ ¦13¦Another cup of cofee ? ¦ ¦
¦ ¦ ¦ ¦ ¦14¦ OH, YES! ¦ ¦
¦ ¦ ¦ ¦ ¦15¦Hard Disk head has been destroyed. Can you¦ ¦
¦ ¦ ¦ ¦ ¦ +¦ borow me your one? ¦ ¦
¦ ¦ ¦ ¦ ¦16¦Missing light magenta ribbon in printer! ¦ ¦
¦ ¦ ¦ ¦ ¦17¦In case mistake, call GHOST BUSTERS ¦ ¦
¦ ¦ ¦ ¦ ¦18¦Insert tractor toilet paper into printer. ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
¦* 12 Tricks ¦ ¦ ¦ ¦ ¦ ¦ ¦Проявления неизвестны ¦
¦ Trojan ¦ ¦ ¦ ¦ ¦M1¦64 02 31 94 42 01 D1 C2 4E 79 F7 ¦ ¦
¦ ¦ ¦ ¦ ¦M2¦E4 61 8A E0 0C 80 E6 61 (* версия-B*) ¦ ¦
¦ ¦ ¦ ¦ ¦C ¦64 02 31 94 42 01 D1 C2 4E 79 F7 ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+--------------------------------------------+
Cookie ¦RCE-nnnn ¦ ¦1¦ ¦ ¦ ¦Выдача на экран сообщения I WANT ¦
(Печенье), ¦ ¦ ¦ ¦ ¦ ¦ ¦COOKIE (я хочу печенья). Только ввод ¦
Cookie Monster¦ ¦ ¦ ¦ ¦ ¦ ¦с клавиатуры слова COOKIE позволяет ¦
(Печеньевое ¦ ¦ ¦ ¦ ¦ ¦ ¦продолжить работу с программой. Неко- ¦
Чудовище) ¦ ¦ ¦ ¦ ¦ ¦ ¦торые штаммы этого вируса стирают ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦файлы при неправильном ответе ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
-----------------+----------+---+-+-+--+------------------------------------------+---------------------------------------------