Компьютерная вирусология ч. 1
страница №42
... ¦Неформальные ¦фикаци- ¦ р ¦а¦и+--T-----------------------------------+ Страна и дата обнаружения, ¦
названия ¦онный ¦ у ¦с¦н¦В ¦ ¦ фамилия исследователя обнаружевшего ¦
¦код ¦ п ¦п¦а¦и ¦ Значение ¦ и изолировавшего вирус (если известны), ¦
¦вируса ¦ п ¦р¦м¦д ¦ ¦ вызываемые эффекты ¦
¦ ¦ а ¦о¦к¦ ¦ ¦ ¦
¦ ¦ ¦с¦а¦ ¦ ¦ ¦
¦ ¦ ¦т¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
$ Yale (Йельский),¦ WB-hh ¦Ala¦1¦ ¦D ¦ L512 S39.8.0 ¦США(Меррит-колледж, Калифорния): 04.87 ¦
* Alameda(Аламеда), ¦ ¦ ¦ ¦DR¦u 1K ¦Первый бутовый вирус, "выжывавший" при теплой переза-¦
Merrit, ¦ ¦ ¦ ¦ ¦M ¦B4 00 CD 13 72 0D B8 01 ¦грузке. Хвост вируса состоит только из оригинального ¦
Peking (Пекин), ¦ ¦ ¦ ¦ ¦I ¦BB40008EDBA11300F7E32DE0078EC00 ¦бутсектора и записывается по абсолютному адресу ¦
Seoul (Сеул) ¦ ¦ ¦ ¦ ¦+ ¦E1F81FF56347504FF0EF87D ¦39/8/0. Если этот сектор распределен какому-нибудь ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦файлу, то содержащаяся в нем информация уничтожается.¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Если нет, то при распределении оригинальный ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦(неинфицированный) бутсектор будет уничтожен и при ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦перезагрузке машина зависнет. Оригинальная версия ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦работоспособна только на PC/XT (код содержит недопус-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦тимую для 80286/80386 команду) ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
¦*# SF Virus ¦ WB-hh ¦Ala¦1¦~¦ ¦ ¦США(Калифорния): декабрь 1987 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦Штамм вируса Alameda, имеющий фазу проявления после ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦заражения 100 дискет. При активации форматирует ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦дискету. Инфицирует только 360К дискеты. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
¦*# Golden Gate ¦ WB-hh ¦Ala¦1¦~¦ ¦ ¦США(Калифорния): 1988 ¦
¦ (Золотые ворота),¦ ¦ ¦ ¦ ¦ ¦ ¦Штамм вируса Alameda, имеющий фазу проявления при ¦
¦ Mazatlan, ¦ ¦ ¦ ¦ ¦ ¦ ¦достижении количества инфицированных дискет числа 500¦
¦ 500 Virus ¦ ¦ ¦ ¦ ¦ ¦ ¦Фаза проявления состоит в форматировании диска С. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
# Swap ¦ Dx1-hh ¦PP ¦1¦ ¦D ¦ L 740 ¦Израиль: август 1989 ¦
(Перестановка), ¦ ¦ ¦ ¦ ¦DR¦u 2K ¦Создает один псевдосбойный кластер на 39 треке секто-¦
$ Falling Letters ¦ ¦ ¦ ¦ ¦I ¦31C0CD13B80202B90627BA0001 ¦ра 6 и 7. Если эти сектора уже распределены, то вирус¦
Boot, ¦ ¦ ¦ ¦ ¦+ ¦BB00208EC3BB0001CD139A00010020 ¦не заражает дискету. В байтах B7h-E4h сектора 7 ¦
(Падающие буквы/ ¦ ¦ ¦ ¦ ¦M ¦CD 13 B8 02 02 B9 06 27 BA 00 01 ¦содержится сообщение T1. В зараженном бутсектора ¦
бутовый), ¦ ¦ ¦ ¦ ¦T1¦The Swapping-Virus. ¦стандартные текстовые собщения отсутствуют. ¦
* Israeli Boot, ¦ ¦ ¦ ¦ ¦ +¦ (C) June, 1989 by the CIA ¦ ¦
(Израильский ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
бутовый), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
* Typo ¦ Bx1-hh ¦PP ¦1¦ ¦D ¦ L512+xxx Sx1 Mn Wn ¦Израиль, июнь 1989 или конец 1988 ¦
(Опечатка), ¦ ¦ ¦ ¦ ¦DR¦u 2K ¦Израильская мутация вируса Bx1-1C(Ping-Pong). ¦
$ MisSpeller ¦ ¦ ¦ ¦ ¦M ¦24 13 55 AA ¦Вносит ошибки в данные передаваемые через параллель- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦най порт (обычно к этому порту подключен принтер), ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦заменяя V на W, C на K, J на G и т.д. Цифры в числах ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦могут быть переставлены или заменены. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
* Chaos ¦ B-hh ¦ ¦1¦ ¦M ¦A1 49 43 68 41 4F 53 50 52 51 E8 ¦Великобритания (Кент): декабрь 1989 ¦
(Хаос) ¦ ¦ ¦ ¦ ¦T1¦Welcome to the New Dungeon ¦Имеющиеся сведения противоречивы. По одним вирус ¦
¦ ¦ ¦ ¦ ¦T2¦Chaos ¦повреждает файлы типа .PRT, по другим при активации ¦
¦ ¦ ¦ ¦ ¦T3¦Letz be cool guys ¦заполняет диск псевдосбойными кластерами. ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
¦* Korea ¦ D-hh ¦ ¦1¦ ¦M ¦8E D0 BC F0 FF FB BB 13 04 ¦Южная Корея(Сеул): март 1990 ¦
¦ (Корейский), ¦ ¦ ¦ ¦ ¦ ¦ ¦Хвост состоит из оригинального бутсектора и записыва-¦
LBC boot ¦ ¦ ¦ ¦ ¦ ¦ ¦ется в сектор 11 - последний сектор корневого катало-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦га. При этом возможно затирание части каталога. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Помимо размножения проявлений нет ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
¦* EDV Virus ¦ M-hh ¦ ¦1¦ ¦ ¦ ¦США: январь 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦75 1C 80 FE 01 75 17 5B 07 1F 58 83¦В конце зараженного бутсектора имеется строка T1. ¦
¦ ¦ ¦ ¦ ¦F ¦CLEANUP v62+ (6-90) ¦По данным П.Хофман при выполнениии некоторых прог- ¦
¦ ¦ ¦ ¦ ¦T ¦MSDOS Vers. E.D.V. ¦рамм наблюдаются сбои и могут быть уничтожены неко- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦торые данные (впрочем эта фраза подходит к любому бу-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦овому вирусу) ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
* Pentagon ¦WD-hh ¦ ¦1¦~¦D ¦ Mc ¦США, 1988 ¦
(Пентагон) ¦ ¦ ¦ ¦ ¦DR¦u 5K ¦Вирус не заражает дискеты, уже зараженный вирусом ¦
¦ ¦ ¦ ¦ ¦M ¦EB 34 90 48 41 4C 20 20 ¦Dx3-E9. Тело вируса закодировано и содержит текст ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦(с) 1987 The Pentagon, Zorell Group$. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Голова вируса представляет собой слегка модифициро- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ванный бутсектор MS DOS 3.2 в котором вместо слово ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦IBM заменено на HAL и двух файлов. Первый с именем ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦F9h содержит хвост вируса, а второй - PENTAGON.TXT ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦похоже не используется и не содержит данных (следы ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦отладки ?). Вирус переживает теплую перезагрузку. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Хвост вируса закодирован. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
* Ohio ¦ D-hh ¦ ¦4¦ ¦M ¦EB 29 90 49 34 12 00 01 00 00 00 00¦Индонезия, США: июнь 1988 ¦
(Огайо) ¦ ¦ ¦ ¦ ¦T1¦V I R U S ¦Заражает только 360K дискеты. Код аналогичен коду ¦
¦ ¦ ¦ ¦ ¦T2¦ b y ¦вируса Den Zuk и скорее всего Ohio является ранней ¦
¦ ¦ ¦ ¦ ¦T3¦ The Hackers ¦версией последнего. Дискета, зараженная вирусом Ohio ¦
¦ ¦ ¦ ¦ ¦T4¦ Y C 1 E R P ¦иммунизирована против заражения вирусом Brain. ¦
¦ ¦ ¦ ¦ ¦T5¦D E N Z U K 0 ¦В теле вируса имеются строки T1-T8. ¦
¦ ¦ ¦ ¦ ¦T6¦Bandung 40254 ¦ ¦
¦ ¦ ¦ ¦ ¦T7¦ Indonesia ¦ ¦
¦ ¦ ¦ ¦ ¦T8¦(C) 1988, The Hackers Team.... ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
* Ghost Virus ¦ D-hh ¦ ¦1¦ ¦M ¦90 EA 59 EC 00 F0 90 90 ¦По сути это не вирус, а троянская программа, распро- ¦
(Бутовое приви- ¦ ¦ ¦ ¦ ¦ ¦ ¦сраняемая файловым вирусом C-2351 (Ghost file virus),¦
дение) ¦ ¦ ¦ ¦ ¦ ¦ ¦Последний заражает этти троянцем 360K дискеты в диско¦
$ Ghost Boot virus¦ ¦ ¦ ¦ ¦ ¦ ¦воде A. Данный троянец аналогичен вирусу Bx1-1C, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦не обладает способностью инфицировать другие дискеты.¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Оригинальный бутсектор записывается в сектор 39.9.1, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦уничтожая данные которые там хранились до этого ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
¦*$ 2730 ¦ ¦ ¦1¦ ¦D ¦ ¦1989; ¦
¦ Nichols ¦ ¦ ¦ ¦ ¦M ¦91 77 91 7A A4 B7 57 00 56 00 00 00¦Проявления неизвестны ¦
¦ ¦ ¦ ¦ ¦F ¦CLEANUP v62+ (6-90) ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
¦ *# AirCop ¦D-hh ¦ ¦1¦ ¦ ¦ ¦Тайвань, США (Вашингтон): июль 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦BE C5 01 E8 3E FF EB DF E4 00 ¦Заражает только дискеты. На обычной 360Л дискете ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦сохраняет оригинальный бутсектор в секторе 719 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦(1/39/9). На большинстве систем через случайные ин- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦тервалы времени выдает на экран сообщение: ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ "Red State, Germ Offensive. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ AIRCOP." ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦На некоторых не совсем совместимых ЗС вместо сооюще- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ния выдается Stack Overflow Error ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
¦*# FORM ¦B-hh ¦ ¦ ¦ ¦D ¦ ¦Швейцария: июнь 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦E8 B2 00 5A 5E 1F 33 C0 50 B8 00 7C¦В коде вируса имеются текстовые строки Т1-Т3. Перевод¦
¦ ¦ ¦ ¦ ¦ ¦T1¦The FORM-Virus sends greetings ¦Т1: FORM-вирус приветствует всех читающих этот текст.¦
¦ ¦ ¦ ¦ ¦ ¦ +¦to everyone who's reading this text¦Т2: FORM не разрушает данных! ¦
¦ ¦ ¦ ¦ ¦ ¦T2¦FORM doesn't destroy data! ¦Т3: Без паники ! ........ .. .. ....... ¦
¦ ¦ ¦ ¦ ¦ ¦T3¦Don't panic! Fuckings go to Corinne¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
¦*# Mardi Bros ¦ D-hh ¦ ¦1¦ ¦D ¦ ¦Франция: июль 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦u 7K ¦При заражении имя дискеты изменяется на "Mardi Bros".¦
¦ ¦ ¦ ¦ ¦T1¦Sudah ada vaksin ¦CHKDSK выдает для зараженных дискет следующую инфор- ¦
¦ ¦ ¦ ¦ ¦M ¦D8 8E D0 BC 00 F0 FB E8 27 ¦мацию о метке тома ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ "Volume Mardi Bros created ira 0, 1980 12:00a" ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦В зараженном бутсекторе текстовые сообщения нормаль- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ного бутсектора сохраняются. Дополнительно появляется¦
¦ ¦ ¦ ¦ ¦ ¦ ¦строка T1. По видимому других проявлений, помимо ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦размножения и изменения меток вирус не имеет. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
¦*# Microbes ¦B-hh ¦ ¦4¦"¦D ¦ ¦Индия(Бомбей): июнь 1990 ¦
¦ (Микроб) ¦ ¦ ¦ ¦ ¦M ¦8E D0 BC 00 F0 FB A1 13 04 2D 04 ¦Проявления неизвестны ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+-----------------------------------------------------+
¦*# Print Screen ¦ B-hh ¦PP ¦1¦ ¦D ¦ ¦Индия(Бомбей): ноябрь 1989, Neville Bulsara. ¦
¦ EB 21, ¦ ¦ ¦ ¦ ¦DR¦u 2K ¦Основан на Bx1-1C (Ping-Pong) и некоторые антивирус- ¦
¦ 8290, ¦ ¦ ¦ ¦ ¦M1¦7401BF0300B92000F3A4 /* штамм 2 */ ¦ные программы идентифицируют его ошибочно. ¦
¦ PRTSC Virus ¦ ¦ ¦ ¦ ¦M2¦CD05FEC8A26001C36F6E2D /штамм 1*/ ¦На дискетах копирует свой хвост в 11 сектор. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦На зараженных системах с винчестером наблюдается за- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦метное замедление доступа к диску. После каждых 255 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦дисковых операций выдает дамп экрана на принтер. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Имееется более ранний штамм, в котором эта ветвь ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦реализована с ошибкой и вирус только размножается ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
------------------+--------+---+-+-+--+-----------------------------------+------------------------------------------------------