Компьютерные науки - Учебники на русском языке - Скачать бесплатно
(DOS 62) Virus у Version A [Vienna]".
Программные средства защиты. Для данного вируса имеется огромное
количество программ типа детекторов и фагов. При этом большинство
из них не указывают, для какого типа вируса они предназначены. По-
этому очень часто в "батарее антивирусных средств", составляемых
на многих ВЦ, используется несколько эквивалентных по своим функ-
циональным возможностям детекторов или фагов для этого типа виру-
са. Уничтоженные вирусом файлы, т.е. файлы, в которых вместо пер-
вых пяти байтов записана команда безусловного перехода на перезаг-
рузку MS DOS (EA F0 FF 00 F0), можно восстановить, только если
первые байты программы были предварительно записаны в справочном
файле программой-ревизором (типа CRCDOS). В настоящее время все
полидетекторы и все полифаги обрабатывают программы, зараженные
данным вирусом. Автор рекомендует полифаг AIDSTEST. Защита винче-
стера от данного вируса облегчается при использовании программы
Advanced Disk Manager, которая позволяет устанавливать защиту за-
писи и для разделов винчестера. Вакцина от данного вируса может
быть создана двумя способами. Во-первых, поскольку при поиске сло-
ва PATH вирус фактически ищет подстроку "PATH=", его можно "наве-
сти на ложный аэродром", вставив в AUTOEXEC.BAT строку вида
SET XPATH = Х:\DUMMY до "настоящей" строки SET PATH=. В приведен-
ном примере DUMMY у несуществующий каталог, а первая (или несколь-
ко первых) букв в имени ловушки могут быть произвольными. В этом
случае вирус "поймает" первую букву "P", входящую в слово XPATH и
будет пытаться искать файлы на несуществующем диске Х и несущест-
вующем каталоге DUMMY. Аналогичную ловушку можно ставить и на
COMSPEC, и хотя для данного вируса она не нужна, важно понимать,
что данную идею "обмана" вирусов можно развить в нескольких на-
правлениях. Другими словами, она может быть обобщена до некоторого
универсального приема использования особенностей кодировки соот-
ветствующих частей вируса. Кроме того, целесообразно создать ката-
лог BAT (имя может быть произвольным) и записать в него пакеты для
вызова часто используемых программ в виде BATCH-файлов. В этом
случае достаточно указать в PATH только этот каталог, что вполне
безопасно, поскольку ни одного файла типа COM в нем нет. Этот спо-
соб, наряду с повышением безопасности, ускоряет вызов программ,
позволяет настроить среду и передать стандартные параметры. Поэто-
му его стоит использовать как можно шире.
Второй способ вакцинирования состоит в записи в последние четыре
бита времени создания файла четырех единиц для всех файлов типа
COM. Это соответствует невозможному количеству секунд (62) во вре-
мени создания (последние четыре бита хранят половинное количество
секунд). Именно так вирус помечает зараженные им файлы. Правда,
здесь существует опасность, что при обработке тем или иным фагом
последний может принять чистые файлы за зараженные, однако эта
проблема носит скорее теоретический, чем практический характер.
Фрагмент дампа дрозофилы, зараженной вирусом C-648
+-------- команда передачи управления телу
+----+ вируса
000: E90D009090909090 9090909090909090 ................
+- ****** -------- J-сигнатура (звездочками поме-
| чены изменяемые вирусом байты)
010: 51BA0903FC8BF281 C60A00BF0001B903 Q...............
020: 00F3A48BF2B430CD 213C007503E9C701 ......0.!<.u....
030: 06B42FCD21899C00 008C84020007BA5F ../.!.........._
040: 009003D6B41ACD21 06568E062C00BF00 .......!.V..,...
050: 005E5681C61A00AC B90080F2AEB90400 .^V.............
060: ACAE75EDE2FA5E07 89BC16008BFE81C7 ..u...^.........
... .. .. .. .. .. .. .. .. .. .. .. .. ..
1E0: 00BA1F009003D6CD 211EB41A8B940000 ........!.......
1F0: 8E9C0200CD211F59 33C033DB33D233F6 .....!.Y3.3.3.3.
200: BF00015733FFC2FF FF8000ED251B0121 ...W3.......%..!
210: 002000909090E90D 002A2E434F4D001C . .......*.COM..
220: 002006504154483D 473634382E434F4D . .PATH=G648.COM
230: 2020202020202020 2020202020202020
*** последующие строки идентичны предыдущей ***
260: 2020202020202020 033F3F3F3F3F3F3F .???????
270: 3F434F4D030500EE 0200000000201B01 ?COM......... ..
280: 2100100000004736 34382E434F4D004D !.....G648.COM.M
290: 000000EAF0FF00F0 ........
Фрагмент дампа дрозофилы, "уничтоженной" вирусом С-648
000: EAF0FF00F0909090 9090909090909090 ................
... .. .. .. .. .. .. .. .. .. .. .. .. ..
4.1.2. Штамм С-623 (Vienna-X)
Вирус С-623 отличается от C-648 наличием обработки ненормальных
окончаний, что обеспечивает подавление сообщений вида
Write protect error writing device <элог.имя.устр.>
Abort, Retry, Ignore, Fail?
при попытке записи на защищенную дискету. Кроме того, в уничтожае-
мые модули записывается переход по адресу C800:0000. Возможно, ав-
тор предполагал, что в результате будет выполнена форматизация ди-
ска. Уничтоженные модули можно искать по сигнатуре EA000000C8.
Данный штамм содержит подпрограмму обработки ошибок ввода/выво-
да. Поэтому при попытке заражения программы, расположенной на за-
щищенной дискете, не выдается соответствующего сообщения MS DOS.
Исторические сведения. Передан автору Д.Н.Лозинским. Обнаружен в
конце 1989 г.
Программные средства защиты. См. прил.1.
Фрагмент дрозофилы, зараженной вирусом C-623
000: E9A0009090909090 9090909090909090 ................
010: 8000ED251B012100 2000909090E9A000 ...%..!. .......
020: 2A2E434F4D001C00 0E04504154483D47 *.COM.....PATH=G
030: 3632332E434F4D00 0000202020202020 623.COM...
040: 2020202020202020 2020202020202020
050: 2020202020202020 2020202020202020
060: 2020202020202020 2020202020202003 .
070: 3F3F3F3F3F3F3F3F 434F4D030700EE02 ????????COM.....
080: 00000000201B0121 0010000000473632 .... ..!.....G62
090: 332E434F4D000000 0000EA000000C856 3.COM..........V
0A0: 050E2551BA1001FC 8BF283C60ABF0001 ..%Q............
0B0: B90300F3A48BF2B4 30CD213C007503E9 ........0.!<.u..
0C0: A80106B42FCD2189 1C8C4402B82435CD ..../.!...D..$5.
0D0: 21899C8F008C8491 0007B824258BD681 !..........$%...
... .. .. .. .. .. .. .. .. .. .. .. ..
230: 8B54068B4C0480E1 E080C91FB80157CD .T..L.........W.
240: 21B43ECD21B80143 8B4C08BA1F0003D6 !.>.!..C.L......
250: CD211EB41A8B148E 5C02CD21B824258B .!......\..!.$%.
260: 948F008E9C9100CD 211F5933C033DB33 ........!.Y3.3.3
270: D233F6BF00015733 FFC2FFFFB000CF .3....W3.......
4.1.3. Штамм C-627 (Vienna-Y)
В штамме 627 исключен блок уничтожения программы.
Исторические сведения. Передан автору Д.Н.Лозинским. Обнаружен в
конце 1989 г.
Программные средства защиты. См. прил.1.
4.2. Польская группа
Польская группа включает несколько штаммов, стратегия заражения
которых основана на поиске файлов с расширением COM в текущем ка-
талоге и использовании для отметки зараженных файлов не значение
62 с. в поле секунд, а 13 месяца. Она включает два почти идентич-
ных вируса С-507 и С-534, из которых в нашу страну попал только
второй. Анализ кода создает впечатление о том, что основные идеи
заимствованы у венского вируса, онако это впечатление может быть и
ложным. В связи с используемым методом отметки зараженных файлов
группа практически полностью уничтожена.
4.2.1. Вирус С-534 (Toothless у Беззубый, W13)
В коде вируса C-534 прослеживаются явные аналогии с кодом вируса
С-648, однако чувствуется более низкая квалификация автора. Воз-
можно, автор пользовался комментированным листингом вируса С-648
(по-видимому, австрийского происхождения). Против этого предполо-
жения говорит тот факт, что стратегия заражения существенно упро-
щена, а признак зараженности файла изменен на более заметный, хотя
при создании штаммов чаще наблюдаются попытки "улучшить" эти уча-
стки кода. Формально вирус С-534 у файловый нерезидентный вирус,
поражающий файлы типа СОМ. Функционирует на версиях MS DOS, начи-
ная с 2.0. Длина 534 (216h) байта. Заражаются только .COM-файлы
длиной от 256(100h) до FA00h байт в текущем и корневом каталогах.
Заражение происходит при запуске инфицированной программы, при
этом заражается не более одного файла. При выполнении зараженной
программы управление передается на начало вируса. Вирус восстанав-
ливает первые 3 байта основной программы, ищет незараженный файл с
раcширением СОМ и заражает его. Это ведет к потере рабоспособности
EXE файлов, записанных с расширением COM. Работоспособность таких
файлов может быть восстановлена путем применения соответствующего
фага.
Стратегия заражения у поиск файла-жертвы в текущем и корневом
каталогах. Поражает СOMMAND.COM. При заражении он дописывается в
конец программы и одновременно вставляет в первые три байта COM-
файла команду перехода на тело вируса. При этом размер файла уве-
личивается на 534 байта, дата создания файла и атрибуты файла из-
меняются (вирус снимает атрибут READ ONLY и из-за ошибки в тексте
не восстанавливает его; кроме того, в дате подставляется 13 (0Dh)
месяц). Заражение выполняется однократно. Минимальный размер зара-
жаемых файлов у 256 байтов (100h), максимальный у чуть меньше 64К
(FA00h). При попытке заражения у файла проверяется значение месяца
последней его модификации и, если оно равно 0Dh (13-й месяц), то
файл не заражается. Очевидно, что данный метод предотвращения по-
вторного заражения является вариантом метода, использованного в
"базовом" вирусе С-648 с той разницей, что вместо секунд использу-
ется месяц.
Как и С-648, вирус C-534 не проверяет, находится заражаемый файл
на защищенной дискете или нет, и в этом случае выдается обычное
сообщение операционной системы:
Write protect error writing device <элог.имя.устр.>
Abort, Retry, Ignore, Fail?
При заражении EXE-файлов с расширением COM наблюдаются те же
проблемы, что и для вируса С-648.
Исторические замечания. Обнаружен в Польше в ноябре 1988 г. В
Киеве появился приблизительно в октябре 1989 г. Первым фагом для
данного вируса, распространяемым бесплатно, вероятно был полифаг
Д.Н.Лозинского.
Методы и программные средства защиты. Методы защиты аналогичны
методам защиты от вируса С-648. Рекомендуется использовать про-
граммы, указанные в прил.1.
Фрагмент дампа программы DUMY0400.COM,
зараженной вирусом C-534
100 E98D019090909090 9090909090909090 ................
110 9090909090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
280 9090909090909090 90909090909090C3 ................
290 50BEF5038BD681C6 0000FCB90300BF00 P...............
2A0 01F3A48BFAB430CD 213C007503E93F01 ......0.!<.u..?.
2B0 BA2C0003D78BDAB4 1ACD21BD00008BD7 .,........!.....
2C0 81C20700B90300B4 4ECD21E90400B44F ........N.!....O
... .. .. .. .. .. .. .. .. .. .. .. .. ..
3E0 00438B8D2200CD21 BA8000B41ACD2158 .C.."..!......!X
3F0 BF000157C3EBFE90 E98D015C3F3F3F3F ...W.......\????
400 3F3F3F3F2E434F4D 00545259302E434F ????.COM.TRY0.CO
410 4D004D0000000020 00E4812400000000 M.M.... ...$....
420 00073F3F3F3F3F3F 3F3F434F4D030900 ..????????COM...
430 000046510F0920E4 8124009001000054 ..FQ....$.....T
440 5259302E434F4D00 4D0000006F736F66 RY0.COM.M...osof
450 7479726967687420 4D6963726F736F66 tyright Microsof
460 7479726967687420 4D6963726F736F66 tyright Microsof
470 7479726967687420 4D6963726F736F66 tyright Microsof
480 7479726967687420 4D6963726F736F66 tyright Microsof
490 7479726967687420 4D6963726F736F66 tyright Microsof
4.2.2. Вирус С-507
(13 месяц-Б, Toothless-B у Беззубый-Б, W13-B)
Данный штамм представляет собой более отлаженный вариант пред-
ыдущего вируса. Ищет заражаемые файлы только в текущем каталоге.
Другие подробности неизвестны. Вирус детектируется полидетектором
SCAN и входит в версии списка П.Хоффман, начиная с датированной 10
августа 1990 г.
4.3. Группа IV (Amstrad)
Данная группа в настоящее время состоит из трех представителей с
длинами 847, 740 и 345 байт. На расстоянии 2-3 байта от начала в
этих вирусах стоят буквы "IV". Из этой группы SCAN опознает только
IV-847, называя его "Amstrad Virus [Amst]". П. Хоффман описывает
ряд других, неизвестных в нашей стране штаммов. В их числе штаммы
с длиной 277 и 299 байтов, которые аналогичны вирусу С-345, однако
текст сообщения исключен и вместо кода, обеспечивающего выдачу со-
общения, вставлен код, создающий ошибку четности (Parity error)
приблизительно в 50% случаев запуска программы. Вирусы этой группы
являются одними из наиболее простых файловых вирусов. Они заражают
только COM-файлы в текущем каталоге, причем при заражении не пре-
дусмотрено ни сохранение даты, ни контроль длины. Заражение произ-
водится приписываением тела вируса к началу файла. Таким образом,
в зараженной программе вирус располагается в начале, что встреча-
ется довольно редко.
Существенной разницы в функционировании штаммов нет: в данном
случае большая длина вируса не означает усложнения механизма его
работы. Все три штамма заражают только файлы с расширение "COM" в
текущем каталоге, причем правильность расширения не проверяется.
Как и в случае с вирусом С-648, это приводит к повреждению EXE-
файлов с расширением COM: после заражения файлы становятся нерабо-
тоспособными и их запуск обычно ведет к зависанию системы. Данное
повреждение может быть устранено "выкусыванием" вируса из програм-
мы.
4.3.1. C-345 (Pixel у Пиксель)
Получив управление, данный вирус переписывает собственное тело в
область памяти, отстоящую от области загрузки данной программы на
64К. Это действие может привести к нарушению работы системы в слу-
чае наложения копии на резидентные программы. Затем вирус выполня-
ет поиск в текущем подкаталоге файла типа с расширением COM. Если
такой файл обнаружен, то он считывается в память, располагаясь не-
посредственно за копией вируса (таким образом вся область памяти
практически представляет собой образ зараженной вирусом програм-
мы). Если второй и третий байты считанной программы принимают зна-
чения 49h и 56h ("IV"), то вирус считает, что данная программа уже
заражена. В противном случае в файл, из которого была считана про-
грамма, "сбрасывается" область оперативной памяти, начиная с тела
вируса. За одно выполнение зараженной программы вирус предпринима-
ет попытку заражения всех файлов в текущем каталоге. Очевидно, что
процесс заражения прекращается, если все файлы в текущем каталоге
уже заражены.
При каждом вызове зараженной программы вирус увеличивает значе-
ние специального счетчика, а затем выполняет проверку его содержи-
мого. Если значение счетчика равно 5, то вирус считывает значение
таймера, и, если оно нечетно, то на экран выводится сообщение
Program sick error:
Call doctor or buy PIXEL for cure description;
и выполнение программы блокируется. Это сообщение содержится в те-
ле вируса в незашифрованном виде. Поэтому иногда этот вирус назы-
вают PIXEL. После завершения своей работы вирус сдвигает тело про-
граммы, вместе с которой он первоначально был загружен в память,
на количество байт, равное длине вируса, и передает управление на
начало программы.
Исторические замечания. Исходный текст данного вируса был опуб-
ликован в Греции журналом Пиксель (Pixel). В СССР попал на вирус-
ной дискете В.Бончева. Первым фагом для данного вируса был, по-ви-
димому, полифаг Д.Н.Лозинского.
Неформальные названия. Распространенным неформальным названием
этого вируса является Pixel. Д.Н.Лозинский называет данный вирус
IV-345.
Программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-345
000: EB3B4956012A2E43 4F4D000000000000 .;IV.*.COM......
010: 0000000000000000 0000000000000000 ................
020: 0000000000000000 0000000000000000 ................
030: 0000000000000000 0000000000508CC8 .............P..
040: 0500108EC0FE0604 01BE000133FFB959 ............3..Y
050: 0190F3A4BA1101B4 1ACD21BA0501B906 ..........!.....
060: 00B44ECD21724BBA 2F01B8023DCD218B ..N.!rK./...=.!.
... .. .. .. .. .. .. .. .. .. .. .. ..
0D0: D801B409CD21CD20 50726F6772616D20 .....!. Program
0E0: 7369636B20657272 6F723A43616C6C20 sick error:Call
0F0: 646F63746F72206F 7220627579205049 doctor or buy PI
100: 58454C20666F7220 6375726520646573 XEL for cure des
110: 6372697074696F6E 0A0D24BE3702B922 cription..$.7.."
120: 0033FFF3A45B2EC7 060B0100002E8C06 .3...[..........
130: 0D012EFF2E0B011E 07BE5902BF0001B9 ..........Y.....
140: FFFF2BCEF3A42EC7 06000100012E8C1E ..+.............
150: 02018BC32EFF2E00 01B409BA0901CD21 ...............!
160: CD20333435205669 7275732033343520 . 345 Virus 345
170: 6279746573202124 bytes !$
4.3.2. C-847 (Amstrad)
Вирус практически полностью аналогичен предыдущему, за исключе-
нием того, что проверка на зараженность программы выполняется по
третьему и четвертому байтам и буфер для чтения/записи размещен в
теле вируса.
Исторические замечания. В СССР попал в сентябре 1989 г. на ви-
русной дискете В.Бончева. Первые случаи заражения отмечены в Моск-
ве в марте 1990 г. Вирус можно отнести к числу самых старых, про-
стейших вирусов. Вирус Amstrad был передан McAfee в ноябре 1989 г.
Джиан Луз (Jean Luz), однако был известен в Испании и Португалии
по меньшей мере за год до этого. Этот штамм не заражает
COMMAND.COM и содержит "самозванную" рекламу компьютеров фирмы
Amstrad.
Неформальные названия. Д.Н.Лозинский называет данный вирус IV-
847. Полидетектор SCAN называет данный вирус "Amstrad Virus
[Amst]".
Программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-847
000: EB14904956012A2E 434F4D004F040000 ...IV.*.COM.O...
010: 0100000000008CC8 0500108EC0FE0605 ................
020: 01BE000133FFB94F 01F3A4BA5F02B41A ....3..O...._...
030: CD21BA0601B90600 B44ECD217260BA7D .!.......N.!r`.}
040: 02B8023DCD21A314 018BD8061FBA4F03 ...=.!........O.
050: B9FFFFB43FCD2105 4F032EA312013E81 ....?.!.O.....>.
060: 3E52034956742133 C98BD12E8B1E1401 >R.IVt!3........
... .. .. .. .. .. .. .. .. .. .. .. ..
0C0: CD21CD2050726F67 72616D207369636B .!. Program sick
0D0: 206572726F723A43 616C6C20646F6374 error:Call doct
0E0: 6F72206F72206275 7920504958454C20 or or buy PIXEL
0F0: 666F722063757265 2064657363726970 for cure descrip
100: 74696F6E0A0D24BE 2402B92B0033FFF3 tion..$.$..+.3..
110: A433FF2EC7060E01 00002E8C0610012E .3..............
120: FF2E0E011E07BE4F 04803E0501017504 .......O..>...u.
... .. .. .. .. .. .. .. .. .. .. .. ..
300: 508D46AE509A4387 751883C4049A8085 P.F.P.C.u.......
310: 7518FF76088D865E FF508D46AE50E8A8 u..v...^.P.F.P..
320: 0583C4068946FE3D FFFF74053D010075 .....F.=..t.=..u
330: 03E8A0D0837EFE01 7403E947FE837E08 .....~..t..G..~.
340: 0075288D46AE509A 9487751883C402B4 .u(.F.P...u.....
350: 09BA0901CD21CD20 3834372056697275 .....!. 847 Viru
360: 7320383437206279 746573202124 s 847 bytes !$
4.3.3. C-740 (Canser у Рак)
C-740 не контролирует и своего наличия в модуле, в связи с чем
заражение происходит многократно.
Исторические замечания. В СССР попал в сентябре 1989 г. на ви-
русной дискете В.Бончева.
Неформальные названия. Д.Н.Лозинский называет данный вирус IV-
740.
Программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-740
000: EB14904956012A2E 434F4D00E4030000 ...IV.*.COM.....
010: 0000000000008CC8 0500108EC0FE0605 ................
020: 01BE000133FFB9E4 00F3A4BAF401B41A ....3...........
030: CD21BA0601B90600 B44ECD217257BA12 .!.......N.!rW..
040: 02B8023DCD21A314 018BD8061FBAE402 ...=.!..........
... .. .. .. .. .. .. .. .. .. .. .. ..
220: 4B2D83C40489865C FF833E1A1E00741D K-.....\..>...t.
230: 833E1C1E007516B8 2B4B509A94877518 .>...u..+KP...u.
240: 83C4020BC07406C7 061C1E0100FFB65C .....t.........\
250: FF8D46AE509A6A86 751883C404FF7606 ..F.P.j.u.....v.
260: 8D865EFF509A6A86 751883C404FF7608 ..^.P.j.u.....v.
270: 8D46AE508D865EFF 50E8F60083C40689 .F.P..^.P.......
280: 8654FF3DFEFF7503 E9F9FEFF361C1EFF .T.=..u.....6...
290: B65CFFE8794183C4 04898656FF3DFFFF .\..yA.....V.=..
2A0: 7503E9DFFE0BC074 2C837E08007526FF u......t,.~..u&.
2B0: 361A1E8D865EFF50 E8544183C4048986 6....^.P.TA.....
2C0: 58FF3DFFFF7503E9 BAFE3D01001BC0F7 X.=..u....=.....
2D0: D8898656FF8D46AE 509A0487751883C4 ...V..F.P...u...
2E0: 020BC075B409BA09 01CD21CD20373430 ...u......!. 740
2F0: 2056697275732037 3430206279746573 Virus 740 bytes
300: 202124 !$
4.4. Вирус E-1961 (Yankee Doodle-2 у Янки Дудль-2)
В настоящее время этот вирус можно считать "вымершим" и информа-
ция о нем представляет лишь исторический интерес. Вирус является
первым болгарским вирусом в котором использован стандартный метод
заражения EXE-файлов, при реализации которого, впрочем, был допу-
щен ряд ошибок и неточностей. При заражении длина файла увеличива-
ется на 1961 байт. Вирус не является резидентным. При запуске за-
раженной программы вирус ищет жертву в текущем каталоге и если по-
пытка заражения удалась, то играет мелодию Янки Дудль.
Исторические замечания. Исходный текст вируса распространялся на
вирусной дискете В.Бончева. Известен автор вируса. В СССР отмечены
лишь отдельные случаи заражения.
Методы и средства защиты. См. прил.1.
4.5. Вирус C-1024 (Bebe у Бебе)
Неформальное название данного вируса связано с выдаваемым виру-
сом на экран сообщением. Идея, лежащая в основе данного вируса,
является модификацией использованной в одном из самых старых виру-
сов у Cookie (см. ниже).
Формально С-1004 представляет собой простой файловый нерезидент-
ный вирус, заражающий файлы, имеющие расширение COM в текущем ка-
талоге. СОММАND.COM заражается как обычный СОМ-файл.
COM-файлы заражаются однократно. При заражении длина файла не
проверяется. Свое тело вирус дописывает в конец файла с выравнива-
нием начала на границу параграфа. В зараженных файлах изменены
первые 14 байтов, причем измененные байты содержат группу (PUSH
AX; т ; JMP FAR Virus_Start;) команд, а не единственную команду
JMP, как это бывает обычно. Поэтому зараженная программа всегда
начинается с строки "50 0E 8C C8 2E 01 06 0C 01 EA". Выше было от-
мечено, что первую команду JMP, подставляемую большинством файло-
вых вирусов, дописывающих свое тело в конец COM-файла, можно рас-
сматривать как вырожденный сегмент. В данном случае первые 14 байт
представляют собой настоящий сегмент тела вируса и фактически мы
имеем дело с файловым вирусом, состоящим из двух сегментов.
Длина вируса 1004 (3ECh) байта совпадает с минимальным прираще-
нием заражаемых файлов. Файлы с атрибутом READ ONLY не заражаются.
Вирус имеет несколько необычную реализацию фазы проявления, созда-
ющую иллюзию, что мы имеем дело с резидентным вирусом: при запуске
первой зараженной программы он копирует часть своего тела в об-
ласть векторов прерываний по адресу 0000:01CE и устанавливает на
нее прерывание 1Ch (таймер). Тем самым создается резидентная про-
грамма, "висящая" на таймере, которая через некоторое время выдает
на экран заставку
+-------- VIRUS ! ------+
| Skagi "bebe" > |
+-----------------------+
и переходит в состояние ожидания ввода с клавиатуры. При
разработке вируса предполагалось, что, если с клавиатуры вводится
слово "bebe", то на экране появляется сообщение "Fig Tebe !". По-
следнее дает определенное представление об уровне культуры автора,
даже если рассматривать это как своего рода юмор. Однако реально
программа зацикливается из-за ошибки. В результате после выдачи
сообщения компьютер зависает и его приходится перегружать, причем
сделать это удается только клавишей RESET.
Уровень программирования, в целом, невысок. В частности, вирус
не восстанавливает DTA, что может привести к зависанию компьютера.
Аналогично, затирание части таблицы векторов прерываний может при-
водить к зависанию или нарушению функционирования программ. Помимо
приведенных выше строк, образующих заставку и ответ, тело вируса
содержит строку "*.COM".
Исторические замечания. Очередной вирус отечественной разработ-
ки. Обнаружен летом 1990 г.
Неформальные названия. Полидетектор SCAN данный вирус не детек-
тирует.
Программные средства защиты. Полифаг Aidstest версий, начиная с
44. Детектирование можно выполнять по сигнатуре, приведенной в
прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-1004
000: 500E8CC82E01060C 01EA580011002400 P.........X...$.
... .. .. .. .. .. .. .. .. .. .. .. ..
060: 9000000000000000
начало тела вируса -> 582EA3CC01581E06 M.......X....X..
070: 5053515256579C8C C88ED88EC08D360E PSQRVW........6.
080: 0006C43ECA01B90E 00F3A40706B42FCD ...>........../.
090: 212E891E2400062E 8F06260007B41A8D !...$.....&.....
0A0: 162800CD21B44E8D 161E00B93F00CD21 .(..!.N.....?..!
0B0: 7303E9D0008D1628 0083C21EB8023DCD s......(......=.
0C0: 21A31C007303E9AF 00B43F8D160E00B9 !...s.....?.....
0D0: 0E008B1E1C00CD21 7303E993008D360E .......!s.....6.
0E0: 008D3E0000B90A00 FCF3A67503E98000 ..>........u....
0F0: 8D1E28008B5F1A8A C381C30001B104D3 ..(.._..........
100: EB240F3C00740143 891E0C00C7060A00 .$.<.t.C........
110: 5800B8004233C933 D28B1E1C00CD21B4 X...B3.3......!.
120: 408D160000B90E00 8B1E1C00CD218D1E @............!..
130: 28008B571A33C9B8 00428B1E1C00CD21 (..W.3...B.....!
... .. .. .. .. .. .. .. .. .. .. .. ..
1B0: 018BFE8D0EEC032B CEFCF3A433DB8EDB .......+....3...
1C0: BB70008D06F002FA 8907C747020000FB .p.........G....
1D0: 9D5F5E5A595B5807 1FEA0001DD21C9CD ._^ZY[X......!..
1E0: CDCDCDCDCD205649 5255532120CDCDCD ..... VIRUS! ...
1F0: CDCDCDBBBA20536B 6167692022626562 ..... Skagi "beb
200: 6522203E20202020 20BAC8CDCDCDCDCD e" > .......
210: CDCDCDCDCDCDCDCD CDCDCDCDCDCDCDBC ................
220: BA20202020204669 6720546562652021 . Fig Tebe !
230: 2020202020BA0000 0000000000000000 ...........
240: 0000000000000000 0000000000000000 ................
*** последующие строки идентичны предыдущей ***
2B0: 0000000000000000 0000301230121C42 ..........0.0..B
2C0: 4542450D50B8C800 E6428AC4E642E461 EBE.P....B...B.a
2D0: 0C03E661E80800E4 6124FCE66158C3B9 ...a....a$..aX..
2E0: 74272E8A052E3A05 7500E2F9C3E4608A t'....:.u.....`.
... .. .. .. .. .. .. .. .. .. .. .. .. ..
3D0: 518D362602BF7406 F3A559BF1407F3A5 Q.6&..t...Y.....
3E0: 59BFB407F3A55F5E 5A595B58071F2EA3 Y....._^ZY[X....
3F0: EA0358EA00000000 302A0000 ..X.....0*..
4.6. Вирус C-257
(Kemerovo-Reset у Кемеровская перезагрузка)
Неформальное название связано с тем, что, подобно вирусу С-648,
данный вирус, наряду с заражением файлов, вызывает перезагрузку
операционной системы.
Формально С-257 у это файловый нерезидентный вирус, заражающий
файлы с расширением COM в текущем оглавлении. Заражает командный
процессор.
Заражает COM-файлы текущего оглавления длиной до 64767 (FCFFh)
байтов при запуске инфицированной программы. Файлы заражаются
однократно. Копирует себя в конец файла и изменяет его первые 4
байта ( XCHG AX,DX; JMP Loc_Virus ). Длина файлов при заражении
увеличивается на 257 байт.
Вирус имеет ряд проявлений. Во-первых, в зараженных программах
портится дата создания файла. Во-вторых, при некоторых значениях
текущего времени запуск зараженной программы ведет к перезагрузке
компьютера. Вирус не блокирует сообщения о защите от записи.
Зараженные программы теряют способность обрабатывать параметры.
Код вируса достаточно примитивен и содержит много ошибок и
неточностей. В частности, вирус не закрывает открываемые файлы (по
одному на заражаемую программу). При этом открыть их может очень
много (в зависимости от количества файлов в текущем каталоге). При
просмотре дампа зараженной программы видна текстовая строка
"*.COM".
Исторические замечания. Происхождение неизвестно. Обнаружен ле-
том 1990 г.
Неформальные названия. Полидетектор SCAN данный вирус не детек-
тирует.
Программные средства защиты. Полифаг Aidstest версий, начиная с
44. Находятся в стадии разработки. Детектирование можно выполнять
по сигнатуре, приведенной в прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-257
000: 92E81500D8A10800 8B1E0A00891E0800 ................
010: A30A00B8004CCD21 125BE800005A5289 .....L.!.[...ZR.
020: D681C6C10089D82D 040089C7B90400A4 .......-........
... .. .. .. .. .. .. .. .. .. .. .. .. ..
0C0: B80242CD2172D15A 5283EA04B90001B4 ..B.!r.ZR.......
0D0: 40CD21CC139090E9 3B1092E81500B840 @.!.....;......@
0E0: 008E2A2E434F4D00 B43ECD21B42CCD21 ..*.COM..>.!.,.!
0F0: 80FA0A7DE2909090 90909090909090EA ...}............
100: 0000FFFF00000000 0000000000000000 ................
110: 0000000000000000 00 .........
5. РЕЗИДЕНТНЫЕ ФАЙЛОВЫЕ ВИРУСЫ,
ОБНАРУЖЕННЫЕ В СССР
5.1. Группа "Буквопад"
Данная группа берет начало с вируса RС-1701 и в настоящее время
включает ряд вирусов с длиной порядка 1700 байтов, имеющих харак-
терный визуальный эффект "опадания" букв на экране. Большинство
штаммов однократно заражает файлы типа COM, однако автор встречал
упоминания о штаммах, многократно заражающих файлы.
5.1.1. Вирус RС-1701 (Cascade -- Буквопад)
Данный вирус, по-видимому, является родоначальником группы. Его
название связано с тем, что в зараженной им системе при определен-
ных условиях начинается "падение" букв с верхних строк экрана
вниз, сопровождаемое негромким звуком, напоминающим шорох, и бло-
кировкой клавиатуры. Длина вируса 1701 (6А5h). Формально вирус RС-
1701 -- файловый резидентный вирус, поражающий файлы типа СОМ. Фун-
кционирует на версиях MS DOS, начиная с 2.0 (в теле вируса имеется
проверка). Распространяется как на PC/XT, так и на PC/AT. Страте-
гия заражения -- при запуске файлов на выполнение. Файлы заражаются
однократно. Максимальная длина заражаемого файла составляет 63803
(F93Bh) байта.
Подобно вирусу С-648, при заражении RС-1701 дописывается в конец
программы и одновременно вставляет в первые три байта COM-файла
команду перехода на тело вируса. При этом размер файла увеличива-
ется на 1701 байт, дата создания файла и атрибуты файла не меняют-
ся. Так же, как и вирус С-648, вирус RC-1701 не проверяет, нахо-
дится ли заражаемая программа (которая загружается на выполнение)
на защищенной дискете или нет, и пытается выполнить запись на за-
щищенную от записи дискету. При этом операционная система выдает
сообщение:
Write protect error writing device <элог.имя.устр.>
Abort, Retry, Ignore, Fail?
Этот эффект можно использовать для обнаружения данного и некото-
рых других резидентных вирусов, поскольку на зараженной ими машине
попытка загрузить программу с защищенной дискеты всегда приводит к
выдаче указанного выше сообщения. В то же время, как уже указыва-
лось, это сообщение часто воспринимается неопытными пользователями
не как предупреждение о попытке выполнить какие-то несанкциониро-
ванные действия, а как просьба снять защитную наклейку.
Механизм функционирования данного вируса существенно отличается
от С-648. В частности, для того, чтобы различать зараженные и
незараженные файлы используетсял не время создания, а первые три
байта файла. Кроме того, вирус по BIOS определяет фирму-изготови-
тель для того, чтобы в случае, если таковой является IBM, сразу
передать управление зараженной программе, не проявляя никаких при-
знаков активности (латентная фаза). Возможно, разработчик опасался
санкций со стороны такой могущественной фирмы, как IBM. Однако при
программировании указанной проверки допущена ошибка, и вирус зара-
жает и ПЭВМ фирмы IBM.
При запуске зараженной программы RС-1701 сначала проверяет, име-
ется ли уже резидентная копия данного вируса с помощью подфункции
FF прерывания 21-4B (не используемой в версиях MS DOS 3.3 и ни-
же). Если нет, вирус инсталлируется в младших адресах свободной
оперативной памяти, перехватывая прерывания 1Ch, 21h и 28h. В ре-
зультате, при запуске любой программы вирус получает управление,
проверяет, является ли запускаемая программа зараженной, и если
нет, то заражает данную программу на диске. В процессе заражения
файла вирус создает в памяти свою копию, кодирует ее и дописывает
в конец заражаемого файла. Затем у файла изменяются первые 3 байта
(организуется переход на начало тела вируса).
При выполнении зараженной программы управление командой JMP
(Е9h) передается на начало вируса. Первыми командами вирус узнает
длину исходного файла и раскодирует свое тело. Затем вирус восста-
навливает измененные им при заражении файла первые три байта про-
граммы, проверяет, заражен компьютер или нет, и если не заражен,
то посредством манипуляций с MCB, PSP и 2 раза копируя себя, оста-
ется резидентным в памяти. Чтобы по окончании работы программы-ви-
русоносителя резидентная часть вируса не была удалена из памяти,
данный вирус выполняет достаточно тонкую операцию, заключающуюся в
сдвиге загруженной программы в область старших адресов, записи се-
бя на освободившееся место и соответствующей корректировки систем-
ных блоков.
Демонстрационный эффект привязан к часам, причем условие запуска
выбрано так, что он проявляется в основном на машинах типа XT, при
установленной дате. На AT визуальный эффект в обычных условиях не
наблюдается, хотя вирус успешно размножается. По некоторым данным,
он возникает при установке даты на третий квартал 1988 г. В ука-
занных случаях, если загружается файл COMMAND.COM и он отмечен как
зараженный, то вирус демаскируется, демонстрируя свое присутствие
с помощью эффекта "падающих букв" на экране монитора. Сеансы опа-
дания букв происходят через определенные интервалы времени. В про-
цессе падения букв клавиатура блокируется и работать с компьютером
становится невозможно до полного опадания букв на экране. При этом
падение каждой буквы сопровождается характерным звуком, напоминаю-
щим шорох. На неспециалистов эта "шутка" часто производит впечат-
ление аппаратной неисправности.
Никаких других несанкционированных действий вирус не выполняет,
поэтому в целом его деятельность можно было бы охарактеризовать
как мелкое хулиганство, если бы не одно обстоятельство. При зара-
жении некоторых системных программ, используемых преимущественно в
AUTOEXEC.BAT, он может вызывать блокировку загрузки MS DOS. Эта
блокировка, в частности, возникает на ПЭВМ ЕС-1840 при заражении
обычно включаемой в AUTOEXEC.BAT программы E1840.COM (EDISK.COM),
обеспечивающей разделение одного физического диска на два логиче-
ских, по 360К каждый (А и С на одном дисководе, B и D на другом).
Этот эффект не был предусмотрен разработчиком вируса, что, впро-
чем, не освобождает его от ответственности. Вместе с тем, ситуация
с EС-1840 может служить наглядной иллюстрацией того факта, что при
заражении системных программ любой вирус может создавать опасные
побочные эффекты. Поэтому любые компьютерные вирусы следует немед-
ленно удалять, как только они появились, даже если путем анализа
или из надежных источников установлено, что никаких разрушительных
действий они не выполняют.
Резидентная часть вируса легко обнаруживается путем просмотра
списка резидентных программ (с помощью утилит MAP, SMAP, MMAP и
т.д.). Как видно из приводимой ниже карты памяти, в списке загру-
женных программ появляется дополнительная строка, описывающая без-
ымянную программу, не имеющую имени родителя.
Вирус RC-1701 является одним из первых вирусов, в которых пред-
приняты определенные усилия, направленные на усложнение процесса
его дизассемблирования. В частности, основная часть тела вируса
шифруется с помощью операции "исключающее ИЛИ". Поэтому непосред-
ственное дизассемблирование зараженной программы пакетным дизас-
семблером полной информации о структуре вируса не дает. Ключ шиф-
ровки зависит от длины файла, поэтому два зараженных файла разной
длины не имеют общих подстрок, за исключением начала инсталлятора.
По той же причине текстовых строк тело вируса не содержит.
Исторические замечания. Данный вирус появился в Западной Европе
в первой половине 1988 г. (см., например, статью [50]). Об этом
также свидетельствуют даты создания версий программы SERUM. Вирус
также распространялся на вирусной дискете В.Бончева в файле
V1700.COM, датированном 16 января 1989 г.
В СССР впервые был выделен в конце 1988 г. в Институте приклад-
ной математики имени М.В.Келдыша АН СССР. B Киеве появился в нача-
ле 1989 г. Одним из первых этот вирус исследовал Е.Ю.Портной, ко-
торый самостоятельно разработал фаг для этого вируса, работающий
как постпроцессор протокола детектора Ладыгина. Средства защиты
появились примерно одновременно с вирусом, поэтому существенного
вреда вирус не нанес.
В Киеве первым фагом для данного вируса была австрийская про-
грамма SERUM3, которая может также работать и в режиме детектора.
Среди отечественных программ, использовавшихся на начальной стадии
борьбы с вирусом, следует отметить детектор Ладыгина (ИПМ АН СССР)
VIRUS_D1.
Неформальные названия. Данный вирус имеет порядка десятка нефор-
мальных названий. Среди них отметим следующие: Falling Letters
(Падающие буквы), LetterFall (Буквопад), Rash (Сыпучка), вирус
падающих букв, 1701, Letters (буквы -- О.Котик), "Слезы капали".
SCAN называет данный вирус "1701/1704 Virus -- Version B [170X]".
Программные средства защиты. Общие средства защиты достаточно
эффективны против данного вируса. В частности, попытки записи ви-
руса в запускаемый СОМ-файл детектируются всеми имеющимися фильт-
рами. Фильтр ANTI4US2 не срабатывает на попытку вируса стать рези-
дентным, поскольку вирус предварительно перехватывает прерывание
21. При использовании системы управления доступом к винчестеру
(Disk Manager, Advanced Disk Manager и т.д.) вирус не в состоянии
попасть в разделы винчестера, для которых установлен статус READ
ONLY. Однако при этом становится невозможным вызов программ с за-
щищенной дискеты или раздела винчестера.
Специальные средства защиты от данного вируса принципиально мо-
гут включать детектор, фаг для резидентной части, резидентный и
пакетный фаги для зараженных файлов, активную и пассивную вакцину.
Детектор может быть создан только на основе поиска начальных 16
байтов вируса, поскольку остальная часть вируса шифруется и раз-
вертывается уже в процессе выполнения.
В настоящее время все сопровождаемые полидетекторы и полифаги
обрабатывают программы, зараженные данным вирусом. Автор рекомен-
дует компактную и удобную программу AIDSTEST Д.Н.Лозинского.
Фрагмент дампа программы MORE.COM,
зараженной вирусом RC-1701
000: E90E009090909090 9090909090909090 ................
+------------------------ J-сигнатура
| (программа раскодировки)
|
010:|01FA8BECE800005B 81EB31012EF6872A .......[..1....*
020: 0101740F8DB74D01 BC82063134312446 ..t...M....141$F
030: 4C75F8
+--------------- закодированная часть
| тела вируса
|
3A575901DE 4243CC634242DEDE Lu.:WY..BC.cBB..
040: A23236062FCF3672 24DF3EBC2CDF362E .26./.6r$.>.,.6.
050: 3212361732290FB7 43289D1602020EE7 2.6.2)..C(......
060: 8233363632322E26 2222262602237126 .36622.&""&&.#q&
070: 6D3A36363332DF2B 3F13464676507A5D m:6632.+?.FFvPz]
080: C86338529B9A46AE A2F9274D01A38022 .c8R..F...'M..."
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
Пример карты памяти зараженного компьютера. В приводимой ниже
карте памяти резидентная часть вируса занимает последнюю строку
(1E1E) таблицы резидентных программ. Ее длина, указанная в графе
"bytes", не соответствует действительной. Перехватываемые прерыва-
ния также не указаны.
Addr Program Parent Sg Bytes Hooked Vectors
------ -------- -------- -- ------ ------------------
(1A66) DOS N/A 3 5504
(1B4E) E1840 DOS 2 1280
(1BA0) QUICK DOS 2 512
(1BC2) KBMNA DOS 2 480 16
(1BE2) DOSEDIT DOS 2 2032
(1C62) BDS1 DOS 2 7056 00 08 09 13 1A
(1E1E) N/A N/A 1 64
5.1.2. Вирус RС-1704 (Cascade-B -- Буквопад-Б)
Данный штамм отличается от исходного исправленной ошибкой, свя-
занной с проверкой фирмы -- изготовителя BIOS. Других особенностей,
по-видимому, не имеет. Детектируется полидетектором SCAN. Длина
штамма 1704 (6A8h) байтов.
5.2. Иерусалимская группа
Иерусалимская группа получила свое название с связи с тем, что
один из представителей этой группы был обнаружен в конце 1987 г.
студентом Иерусалимского университета. Вирус существует в несколь-
ких разновидностях (штаммах), отличающихся по своим размерам, дей-
ствиям и типам заражаемых файлов. Из них наиболее распространенным
является версия, которая в пятницу, приходящуюся на 13 число, уда-
ляет все запускаемые файлы. Другими словами, если в этот день
файл, содержащий исполняемую программу, запускается на выполнение
на зараженной машине, вирус удаляет его с диска и при попытке по-
вторного выполнения этой программы MS DOS сообщит, что соответст-
вующий файл не найден. Большинство представителей этой группы за-
ражают COM-файлы, размещая свое тело в начале, а не в конце, как
большинство других групп вирусов.
5.2.1 Вирус RCE-1813 (Ierusalem -- Иерусалим,
Black Friday -- Черная пятница)
Вирус RСЕ-1813 получил название Black Friday -- Черная пятница,
поскольку, если 13 число месяца приходится на пятницу, то он уда-
ляет все запускаемые файлы. Впервые обнаружен в Израиле, поэтому
другим распространенным названием вируса является Israeli Virus --
Израильский вирус. Формально вирус RСЕ-1813 является резидентным
файловым вирусом, поражающим как СОМ-, так и ЕХЕ-файлы.
Работоспособен на версиях, начиная с 2.0, как на PC XT, так и на
PC AT.
При выполнении зараженной программы вирус вначале проверяет на-
личие своей копии в памяти компьютера. Если она есть, то управле-
ние передается зараженной программе. Если ее нет, то вирус инстал-
лируется, выполняя следующие действия: 1) запоминает в своем теле
значения байтов памяти с адресами 003FCh-003FEh; 2) размещает по
указанным адресам программу копирования и передает ей управление;
3) программа копирования перемещает тело вируса в самые младшие
адреса, выделенные для основной программы (при этом вирус в COM-
программе копируется сам в себя, а в EXE-программе стирает часть
кода основной программы), и возвращает управление в копию вируса;
4) восстанавливает старое содержимое байтов памяти с адресами
003FCh-003FEh; 5) определяет имя основной программы и функцией
EXEC (21-4Bh) запускает ее на выполнение (т.е. в памяти компьютера
в этот момент находятся 2 копии основной программы); 6) по оконча-
нии работы программы вирус освобождает лишнюю память и остается
резидентным в памяти (с помощью прерывания 21-31h). Использование
для постановки в резидент прерывания 21-31h означает, что вирус
виден по карте памяти (см. ниже). Из нее видно, что после загрузки
в память вирус перехватывает прерывания 08 и 21. После того, как
вирус RСЕ-1813 стал резидентным, он пытается заразить каждый запу-
скаемый файл, за исключением файлов с именем COMMAND.COM.
Файлы типа СОМ поражаются данным вирусом однократно, при этом
дата их создания не меняется, а длина увеличивается на 1813 бай-
тов. В инфицированной программе тело вируса размещается в начале
файла, поскольку при заражении COM-файла вирус выделяет область
памяти (с помощью int 21h, ah=48h), в которую копирует сначала
свое тело, а затем зараженный файл. Полученный образ зараженного
файла записывается на диск с добавление 5-байтового поля (обычно
это поле содержит "MsDos", однако имеются штаммы с другим содержа-
нием), используемого вирусом в качестве признака зараженности COM-
файлов. Ограничений на длину файлов нет, поэтому вирус уничтожает
COM-файлы, длина которых после заражения превысит 64K. Вирус не
заражает COMMAND.COM, определяя его по имени файла.
ЕХЕ-файлы (включая оверлейные) поражаются многократно, порой
разрастаясь до невероятных размеров, достигающих предельно допу-
стимого для данной машины размера (например, Norton Commander мо-
жет достичь размера в несколько сот килобайт). Дата создания не
изменяется, а длина при каждом заражении увеличивается на 1808 --
1823 байта. Тело вируса размещается обычно в конце файла, однако в
случае, если поражаемый EXE-файл имеет неверную длину в заголовке
(это имеет место, например, в ряде программ, использующих часть
своего файла в качестве буфера на диске для хранения промежуточных
данных), то вирус размещается в середине. Такой эффект наблюдается
для FOXBASE, QC и ряда других больших программ, использующих часть
своего дискового файла в качестве буфера или неявного оверлея. При
изменении заголовка файла вирус записывает в поле контрольной
суммы значение 1984h.
Фаза проявления наступает через некоторое время после того, как
вирус стал резидентным (это время зависит от тактовой частоты ЭВМ
и для обычных РС/ХТ с тактовой частотой 4.77 Мгц составляет поряд-
ка 40 мин.) и зависит от даты и дня недели. В "обычный" день, не
приходящийся на пятницу, совпадающую с 13 числом, проявление дан-
ного вируса состоит в замедлении работы ЭВМ. При этом выдача любой
команды, например DIR, приводит к медленному "выползанию" строк на
экран. Этот эффект основан на том, что вирус перехватывает преры-
вание от таймера (8h) и при каждом прерывании 8h выполняет цикл из
нескольких тысяч команд. Обычно через некоторое время после начала
стадии проявления действия вируса приводят к зависанию MS DOS с
сообщением "Stack overflow". Вторым визуальным эффектом является
вырывание кусков изображения с появлением на экране черного окна в
левом нижнем углу экрана (вирус выполняет скроллинг части экрана).
Если текущий день недели -- пятница, а текущее число -- 13, то ста-
дия проявления меняется: в такие дни вирус не заражает собой все
запускаемые файлы, а просто удаляет их с диска. Таким образом, при
попытке запустить программу на выполнение, MS DOS выдает сообщение
о том, что файл не найден. В результате будут уничтожены все фай-
лы, которые пользователь пытается запускать, пытаясь выяснить, что
происходит с компьютером. Поэтому непреложным правилом поведения
пользователей должно стать следующее: при возникновении каких-то
аномалий необходимо перегрузиться с защищенной дискеты и уже после
этого пытаться анализировать, что произошло с компьютером. Как уже
отмечалось, из-за ошибки в тексте вируса при заражении как COM-,
так и EXE-файлов, имеющих размер, дающий при увеличении на 1808 --
1821 байтов величину, превосходящую 64К, 128К и т.д., заражаемая
программа необратимо портится, перезаписываясь в начале.
Исторические замечания. Вирус RСE-1813 появился в Израиле в на-
чале 1988 г. В СССР обнаружен в ноябре 1988 г. в одном из москов-
ских кооперативов. Первый детектор был, по-видимому, разработан в
Институте программных систем (Переславль-Залесский), однако эта
программа до Киева не дошла. По результатам анкеты, проведенной
автором на апрельском семинаре, этот вирус был обнаружен в 10 ор-
ганизациях из 50 участников семинара, принявших участие в анкети-
ровании. Поскольку создание средств защиты несколько запоздало (в
Киеве эпидемия началась приблизительно в апреле, а средства защиты
появились примерно в июне), вирус распространился довольно широко
и нанес определенный ущерб: десятки, если не сотни тысяч часов бы-
ли потеряны на восстановление и перезапись зараженных программ.
Первыми использовавшимися в киевской практике детекторами для
этого вируса были DOCTOR А.А.Чижова и ANTIDOS киевской разработки.
Первые фаги, использовавшиеся в Киеве для борьбы с этим вирусом,
были разработаны А.А.Чижовым (DOCTOR1) и Л.И.Обуховым (FAG1813 --
август 1989 г.). Программа FAG1813, распространявшаяся как
SHAREWARE по цене 1 рубль за копию (см.СП 1-1), работала устойчи-
во, однако не могла рекурсивно обрабатывать подкаталоги (впрочем,
программа очень мала (1808 байтов)). Для рекурсивной обработки
подкаталогов использовалась с RUNTREE. Кроме того, Л.И.Обуховым
была разработана резидентная вакцина VAC1813R, а позднее VAC1813Q.
Вакцина содержит обработчик неиспользуемого в MS DOS прерывания
Е0, используемого вирусом для определения, имеется ли в оператив-
ной памяти копия вируса или нет. Если этот обработчик возвращает
значение 3, то вирус считает, что он уже является резидентным и
загрузку собственной копии в список резидентных программ не выпол-
няет. Данная вакцина является первым отечественным продуктом тако-
го типа и позволяет, в частности, работать на зараженной машине
без дезактивации всех зараженных файлов. Версия VAC1813Q выдает
предупреждающее сообщение всякий раз, когда делается попытка запу-
стить зараженную программу. Таким образом, она является одновре-
менно резидентным детектором для данного типа вируса. Позднее
В.В.Пономаренко была разработана поливакцина NEATVAC (СП 2-7).
Зарубежные программы появились в СССР несколько позднее. Первой
из них была программа FAG_SU, разработанная Joe Ratcatcher & Anre
Molnar.
Неформальные названия. Данный вирус имеет более десятка нефор-
мальных названий. Среди них: Hebrew University, PLO (ООП), Black
Hole (Черная дыра), Вирус замедления, Time (Время -- О.Котик). По-
лидетектор SCAN называет данный вирус "Jerusalem Virus Version B
[Jeru]".
Методы и программные средства защиты. В настоящее время все по-
лифаги и полидетекторы распознают этот вид вируса. Однако почти
все из указанных программ не обрабатывают случай, когда вирус на-
ходится в середине файла. Поэтому результаты их работы необходимо
контролировать с помощью контекстного поиска по всему диску. В по-
следних версиях полифага DOCTOR введен новый ключ, задающий расши-
ренную обработку файлов. В этом случае проводится полный просмотр
файлов. Поскольку для каждого зараженного СОМ-файла вирус в конце
дописывает признак зараженности, который состоит из 5 байтов, со-
держащих слово MsDos, можно реализовать пассивное вакцинирование
СОМ-файлов от этого типа вирусов. Для этой цели применима, напри-
мер, команда COPY, если заготовить слово MsDos в отдельном файле,
а затем конкатенировать COM-файлы с этим файлом.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1813
+---------------- команда обхода области данных
| (дрозофила перемещена в конец файла - см. ниже)
+-----+
0000:|E9920073554D7344 6F7300018F250000 ...sUMsDos...%..
|