Компьютерные науки - Учебники на русском языке - Скачать бесплатно
0010: 001000D800AD0F5C 06FD1856059D1007 .......\...V....
0020: 7E00000000000000 0000000000000000 ~...............
0030: 000E258000000080 000E255C000E256C ..%.......%\..%l
0040: 000E250004FABA29 0053A1000000004D ..%....).S.....M
0050: 5A8000C300730160 00EA0AFFFF771710 Z....s.`.....w..
0060: 078419C50077171E 0000009090909090 .....w..........
0070: 0500200021001B01 00021000707D0100 .. .!.......p}..
0080: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
0090: 0000000000
+--------- J-сигнатура
|
0095 |FCB4E0 CD2180FCE0731680 .........!...s..
00A0: FC037211B4DDBF00 01BE100703F72E8B ..r.............
00B0: 8D1100CD218CC805 10008ED0BC000750 ....!..........P
00C0: B8C50050CBFC062E 8C0631002E8C0639 ...P......1....9
00D0: 002E8C063D002E8C 0641008CC0051000 ....=....A......
00E0: 2E010649002E0106 4500B4E0CD2180FC ...I....E....!..
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
05E0: 1B00B82425CD2107 1F5F5E5A595B589D ...$%.!.._^ZY[X.
05F0: 2EFF2E1700000000 0000000000000000 ................
0600: 4D9D100010383133 522E434F4D000122 M....813R.COM.."
0610: E9920073554D7344 6F7300018F250000 ...sUMsDos...%..
0620: 001000D800AD0F5C 06FD1856059D1007 .......\...V....
0630: 7E00000000000000 0000000000000000 ~...............
0640: 000E258000000080 000E255C000E256C ..%.......%\..%l
0650: 000E250004FABA29 0053A1000000004D ..%....).S.....M
0660: 5A8000C300730160 00EA0AFFFF771710 Z....s.`.....w..
0670: 078419C50077171E 0000009090909090 .....w..........
0680: 0500200021001B01 00021000707D0100 .. .!.......p}..
0690: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
06A0: 0000000000FCB4E0 CD2180FCE0731680 .........!...s..
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
+------------------------ тело дрозофилы
|
0710:|9090909090909090 9090909090909090 ................
0720:|4D73446F73 MsDos
+----------+
+---------------- признак зараженности COM-файла
Пример карты памяти зараженного компьютера. В приводимой ниже
карте памяти резидентная часть вируса занимает последнюю строку
(1CD0) таблицы резидентных программ. Перехватываемые прерывания
соответствуют действительности.
Addr Program Parent Sg Bytes Hooked Vectors
------ -------- -------- -- ------ -----------------
(19A6) DOS N/A 2 3536
(1A8E) E1840 DOS 2 1280
(1AE0) RELEASE DOS 2 3552 27
(1BC0) GRAPHICS DOS 2 1088 05
(1C06) QUICK DOS 2 544 09
(1C2A) KBMNA DOS 2 512 16
(1C4C) DOSEDIT DOS 2 2064
(1CD0) N/A DOS 1 1824 08 21
5.2.2. Вирус RCE-1636 (Sunday -- Воскресенье)
Данный штамм получил название Sunday -- воскресенье, поскольку в
этот день недели вирус удаляет все запускаемые файлы. Формально
вирус RСЕ-1636 является резидентным файловым вирусом, поражающим
как СОМ-файлы, так и ЕХЕ-файлы. Вирус не проверяет версию MS DOS,
на которой функционирует. Работоспособен на версиях, начиная с 2.0
как на PC XT, так и на PC AT.
При выполнении зараженной программы вирус вначале проверяет на-
личие своей копии в памяти компьютера, аналогично тому, как это
делает вирус RCE-1813. Затем вирус инсталлируется и перехватывает
прерывания 21 и 8. Механизм размножения вируса стандартен -- пере-
хват прерывания 21-4B и заражение каждой подходящей запускаемой на
выполнение программы, за исключением файла с именем COMMAND.COM.
Ограничений на длину файлов нет, поэтому вирус уничтожает COM-фай-
лы, длина которых после заражения превысит 64K. Вирус не заражает
файлы с именем COMMAND.COM.
Файлы типа СОМ поражаются данным вирусом однократно, при этом
дата их создания не меняется, а длина увеличивается на 1636 бай-
тов. В инфицированной программе тело вируса размещается в начале
файла. Со смещением 184h от начала зараженного файла расположена
текстовая строка COMMAND.COM, а со смещением 351h -- текст сообще-
ния, выдаваемого вирусом на экран:
Today is SunDay! Why do you work so hard?
All work and no play make you a dull boy!
Come on ! Let's go out and have some fun!$
(Сегодня воскресенье! Зачем работать так напряженно ?
Постоянная работа без игр делает Вас занудой !
Пошли ! Давай выйдем из дому и развлечемся !)
В конец зараженного СОМ-файла записывается пятибайтовое поле
(обычно это поле содержит C8h, F7h, E1h, EEh, E7h, однако возможны
штаммы с другим содержанием). Указанное поле используется вирусом
в качестве признака зараженности COM-файлов.
EXE-файлы заражаются однократно. Контроль зараженности по тому
же пятибайтовому полю. При заражении EXE-файлов вирус дописывает
свое тело в конец программы и исправляет заголовок EXE-файла, за-
поминая некоторые поля. Как и RCE-1813, вирус записывает, вместо
контрольной суммы, число "1984". При этом оригинальное значение
контрольной суммы теряется. В конец зараженного файла дописываются
упомянутые выше 5 байт.
Как уже указывалось, данный вирус имеет стадию проявления, на-
ступающую в воскресенье. В этот день вирус не заражает собой все
запускаемые файлы, а, как и RCE-1813, удаляет их с диска. Перехва-
тывая прерывание от таймера (INT 8), вирус отсчитывает один час от
начала режима удаления запускаемых файлов и выводит приведенное
выше сообщение. Вирус имеет несколько штаммов, в одном из которых
в этом месте допущена ошибка и данная ветвь кода никогда не выпол-
няется. Аналогично вирусу RCE-1813, возможна запись вируса в сере-
дину "расширенных" EXE-файлов.
Исторические замечания. Вирус RСE-1636 появился в конце 1988 --
начале 1989 г. в США. В СССР обнаружен к марте 1990 в Ленинграде и
Киеве, а чуть позднее в Москве. Первым отечественным полифагом для
данного вируса был, по-видимому, AIDSTEST (версии, начиная с апре-
ля 1990), обнаруживают и уничтожают этот штамм. Анализ кода позво-
ляет предположить, что автор использовал в качестве основы для его
написания вирус RCE-1813.
Неформальные названия. Полидетектор SCAN называет данный штамм
"Sunday Virus [Sunday]".
Методы и программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1636
000: E992000131C8F7E1 EEE70001F51E0000 ....1...........
010: 002200AA00DF0F60 02FD125605C61090 .".....`...V....
020: 7E00000000000000 0000000000004506 ~.............E.
030: 10E02B8000000080 00E02B5C00E02B6C ..+.......+\..+l
040: 00E01B80006C3E12 00D33900F006004D .....l>...9....M
050: 5AC4017500000020 003906FFFF160E5D Z..u... .9.....]
060: 068419C400160E1E 000000909090CD20 ...............
070: 050020008814A579 0002100060E30000 .. ....y....`...
080: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
090: 0000000000
+------ начало инсталлятора
|
|FCB4FF CD2180FCFF731580 .........!...s..
0A0: FC047210B4DDBF00 01BE5F0603F72E8B ..r......._.....
0B0: 4D11CD218CC80510 008ED0BC5D0650B8 M..!........].P.
0C0: C40050CBFC062E8C 0631002E8C063900 ..P......1....9.
0D0: 2E8C063D002E8C06 41008CC00510002E ...=....A.......
0E0: 010649002E010645 00B4FFCD2180FC04 ..I....E....!...
0F0: 7510072E8E164500 2E8B2643002EFF2E u.....E...&C....
100: 470033C08EC0BBFC 03268B072EA34B00 G.3......&....K.
... .. .. .. .. .. .. .. .. .. .. .. ... .. .. .. .. ..
240: 1F00907E5E5B582E FF0E1F002EFF2E13 ...~^[X.........
250: 00546F6461792069 732053756E446179 .Today is SunDay
260: 212057687920646F 20796F7520776F72 ! Why do you wor
270: 6B20736F20686172 643F0A0D416C6C20 k so hard?..All
280: 20776F726B20616E 64206E6F20706C61 work and no pla
290: 79206D616B652079 6F7520612064756C y make you a dul
2A0: 6C20626F79210A0D 436F6D65206F6E20 l boy!..Come on
2B0: 21204C6574277320 676F206F75742061 ! Let's go out a
2C0: 6E64206861766520 736F6D652066756E nd have some fun
2D0: 21249C80FCFF7505 B800049DCF80FCDD !$....u.........
2E0: 740E3D004B7503EB 35909D2EFF2E1700 t.=.Ku..5.......
2F0: 5858B800012EA30A 00582EA30C00F3A4 XX.......X......
... .. .. .. .. .. .. .. .. .. .. .. ... .. .. .. .. ..
5D0: 1FC51680002E8B0E 7200B80143CD218D ........r...C.!.
5E0: 161B00B82425CD21 071F5F5E5A595B58 ....$%.!.._^ZY[X
5F0: 9D2EFF2E1700FC03 0000000000000000 ................
600: 0000000000000000 0000000000000000 ................
610: 0000000000000000 0000000000000000 ................
620: 0000000000000000 00002C0825460008 ..........,.%F..
630: 250825C60716026C 1540003CFC04000D %.%....l.@.<....
640: C97E9300010702D4 00F51E55C8556CFE .~.........U.Ul.
650: B98B00803EEB54A2 4C80003E00435690 ....>.T.L..>.CV.
660: 9090909090909090 9090909090909090 ................
670: 9090909090909090 90909090909090CD ................
680: 20C8F7E1EEE7 ......
+--------+
+----------- признак зараженности файла
5.2.3. Воронежская подгруппа
Воронежская подгруппа включает в настоящее время три вируса: RC-
529, RC-600 и RCE-1600, по-видимому, принадлежащие одному (отече-
ственному !) автору.
5.2.3.1. Вирус RC-529
(Peterburg -- Петербург, Пакость-1)
Формально данный вирус можно отнести к резидентным файловым
вирусам, заражающим файлы с расширением COM. Не проверяет версию
операционной системы, но использует имя программы, которое зано-
сится в Environment версии MS DOS не ниже 3.0. При запуске
зараженной программы инсталлируется, перехватывая прерывание 21.
Заражает только COM-файлы при их выполнении. Определяет тип
программы по расширению имени, из-за чего EXE-программы, имеющие
расширение COM, после заражения теряют работоспособность.
Работоспособность таких программ восстанавливается после
применения соответствующего фага. Подобно остальным вирусам иеру-
салимской группы, при заражении COM-файлов записывается в начало,
переписывая старое начало в конец файла. Уровень программирования
выдает начинающего: основная часть логики некритично заимствована
из вируса RСE-1813.
Исторические сведения. Впервые обнаружен в Ленинграде весной
1989 г. Автору был передан Д.Н.Лозинским. Первым фагом для данного
вируса был, по-видимому, AIDSTEST.
Неформальные названия. Помимо приведенных выше неизвестны. Поли-
детектором SCAN не детектируется.
Методы и программные средства защиты. См. прил.1.
Фрагмент дампа программы DUMY1744,зараженной вирусом RC-529
000: B815CA8B361B01BF 00018B0E1D018B1E ....6...........
010: 1901CD21FF361F01 C30101D007110247 ...!.6.........G
020: 017900C0010400C4 014D001102EA00FB .y.......M......
030: 020100FC02010000 0080000E255C000E ............%\..
040: 256C000E25CA01A1 1D0105140190A305 %l..%...........
050: 0303061D01050001 A30D038BE0050F00 ................
... .. .. .. .. .. .. .. .. .. .. .. .. ..
1B0: 15B8004233D28BCA CD21720AFEC68B0E ...B3....!r.....
1C0: 1D01B440CD21B801 578B0E07038B1609 ...@.!..W.......
1D0: 03CD21B43ECD21B8 01438B0E0B038E5E ..!.>.!..C.....^
1E0: 028B5600CD212EC5 160103B82425CD21 ..V..!......$%.!
1F0: 8BE55A1F5B5807C3 B003CFC3C35C06FD ..Z.[X.......\..
200: 1856059D10250336 0021002000360664 .V...%.6.!. .6.d
210: 0090909090909090 9090909090909090 ................
220: 9090909090909090 9090909090909090 ................
*** следующие строки идентичны предыдущей ***
8E0: 90 .
5.2.3.2. Вирус RC-600 (Пакость-2)
Данный штамм аналогичен штамму RC-529 и заражает только COM-фай-
лы. Формально вирус RС-600 является резидентным файловым вирусом,
поражающим СОМ-файлы. Вирус не проверяет версию MS DOS, на которой
функционирует. По-видимому, работоспособен на версиях, начиная с
2.0.
При запуске зараженной программы вирус сразу пытается
инсталлироваться в оперативной памяти. Для определения, имеется ли
уже в памяти резидентный вирус, используется стандартный для дан-
ной группы вирусов механизм: вирус выдает неиспользуемое MS DOS
прерывание 21-AB, а затем проверяет содержимое регистра AX. Это
делает возможным создание резидентной вакцины и такая вакцина
имеется (NEATVAC). Файлы заражаются при загрузке в память для вы-
полнения (прерывание 21-4Bh).
Заражаются файлы типа СОМ, даже если они имеют расширение ЕХЕ.
Дата и время создания зараженного файла не изменяются, а длина
увеличивается на 600 байтов. Минимальная длина заражаемых файлов
составляет 600 байтов (258h), а максимальная 60 000 байтов
(EA60h). Не заражаются файлы, содержащие в первых двух байтах зна-
чение, превышающее EF60h, а также файлы с атрибутом READ ONLY. Ви-
рус не заражает COMMAND.COM. Файлы заражаются однократно, при этом
дата их создания не меняется, а длина увеличивается на 600 байтов.
В инфицированной программе тело вируса размещается в начале файла.
Перехватывает прерывание 21h.
Вирус шифрует часть своего тела (50 байтов, начиная с 16 байта
от начала). Первые 600 байт заражаемой программы (участок, перено-
симый в конец файла) с также шифруются с помощью операции XOR 0BBh
и переносятся в конец файла. На их место помещается тело вируса
(тоже частично закодированное -- 50 байтов, начиная с 17-го -- XOR
0DDh).
Фаза проявления у данного вируса отсутствует. При попытке запу-
ска программы из оболочек типа NC на зараженной машине, если
COMMAND.COM находится на защищенном от записи диске, происходит
"выпадение" в DOS. При попытке заражения файлов, расположенных на
защищенной от записи дискете, иногда (не всегда) появляется стан-
дартное сообщение "Abort, Retry...". Это связано с ошибкой в под-
программе обработки прерывания 24h.
Исторические замечания. По-видимому, вирус имеет отечественное
происхождение, поскольку в теле вируса имеется зашифрованная стро-
ка "Oleynikoz S., 1990". Вирус RСE-600 появился в СССР в начале
1990 г. Обнаружен А.Сессой в Днепропетровске в середине апреля
1990г. Значительного распространения вирус не получил. Из полифа-
гов, распространяемых бесплатно, первым был, по видимому, -V
Е.Касперского (СП 2-7).
Неформальные названия. Помимо приведенного выше иногда
используется название 600 и Oleynikoz.
Программные средства защиты. Для борьбы с вирусом годятся имею-
щиеся контекстные детекторы и резидентные программы. В качестве
фага рекомендуется использовать -V Е.Касперского или Aidstest.
Фрагмент дампа дрозофилы, зараженной вирусом RC-600
(обратите внимание, что байты 90h перекодированы в BBh)
000: BE1001B932008A24 80F4DD882446E2F6 ....2..$....$F..
010: 697610FCE08888A8 DE3453DD5115F0DC iv.......4S.Q...
020: DD530566DEDDE356 DAF05DDDE354DAD3 .S.f...V..]..T..
030: C266DFDD56DAF05D DD54DA531D62DDDD .f..V..].T.S.b..
040: 63DD00B90008F3A4 8BD0EB2E90FB80FC c...............
050: AB7504B85555CF50 FEC43D004C587515 .u..UU.P..=.LXu.
060: 9C50535152565706 1EE99E001F075F5E .PSQRVW......._^
070: 5A595B589DEA1C02 BC128EDAB82135CD ZY[X.........!5.
080: 213E891E76013E8C 0678013E891E4202 !>..v.>..x.>..B.
090: 3E8C0644021E8CC0 8ED88BD31F8D164D >..D...........M
0A0: 01B82125CD210E1F 1E07BED401B90001 ..!%.!..........
0B0: BBEC018B3F83FF00 7502CD2057BBEE01 ....?...u.. W...
0C0: 8B0701C781C70001 FC57F3A45F588B0E .........W.._X..
0D0: EE0157C30500018B F0BF0001FC8A0434 ..W............4
0E0: BB88054647E2F6B8 000150C360025802 ...FG.....P.`.X.
0F0: 5605E00F55767F63 7473717560004934 V...Uv.ctsqu`.I4
100: 362B23232A000000 00CF8BDA1E52060E 6+##*........R..
... .. .. .. .. .. .. .. .. .. .. .. .. ..
240: 0300E927FEB8003E CD218B1EF0018E06 ...'...>.!......
250: F201B82425CD21C3 3820818089928E82 ...$%.!.8 ......
260: 0290BB05AEBA9531 AF0FB9769AFD594D .......1...v..YM
270: 01BBBB769BB1B626 2935299B2F3B3230 ...v...&)5)./;20
280: 9B2A353F3E2B3D33 299B39332B282A9B .*5?>+=3).93+(*.
290: ED8D8B8B9B9B9B93 E9F89B8D8B8B929A ................
2A0: BBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBB ................
*** последующие строки идентичны предыдущей ***
4A0: 3F3033363B9B2C33 2A293538359B2F3B ?036;.,3*)585./;
4B0: 32303B9B969B8D8B 20;.....
5.2.3.3. Вирус RC-1600
(Voronezh 2.01 -- Воронеж 2.01, Пакость-3)
Последний и наиболее сложный из рассматриваемой подгруппы. Не-
формальное название связано с наличием в теле вируса соответствую-
щей текстовой строки. Формально представляет собой резидентный
файловый вирус, заражающий COM- и EXE-файлы. С сожалением прихо-
дится констатировать, что в данном вирусе реализована идея, не-
осторожно высказанная Д.Н.Лозинским в документации к полифагу
AIDSTEST (AIDSREAD.ME): с целью затруднить обнаружение обычными
фагами, вирус не меняет точку входа в EXE-файле, изменяя
Relocation table.
При заражении EXE-файлов тело вируса дописывается в конец зара-
жаемой программы. Файлы заражаются не только при запуске программ
на исполнение, но и при открытии файлов.
Уровень программирования создает противоречивое впечатление.
Имеется ряд признаков, позволяющих говорить о близости "почерка",
которым написаны данный вирус и вирус RC-600.
Исторические замечания. Обнаружен в Воронеже в июне 1990 г.
А.Н.Мартемьяновым. Автору передан Д.Н.Лозинским. Из полифагов,
распространяющихся бесплатно, первым его включил Е.Сусликов в по-
лифаг К32. Значительного распространения вирус не получил.
Неформальные названия. Помимо приведенных выше иногда
используется название 1600.
Программные средства защиты. Для борьбы с вирусом годятся имею-
щиеся контекстные детекторы и резидентные программы. В качестве
фага можно рекомендовать упомянутый выше полифаг К32.
Фрагмент дампа вируса
000: 8CD80E1F50E80000 5B81EB080153B4AB ....P...[....S..
010: CD213D55557503E9 D0008CC02D01008E .!=UUu......-...
020: D8BB03003E8B072D EA003E8907061FBB ....>..-..>.....
030: 02003E8B072DEA00 3E89078EC0BF0001 ..>..-..>.......
040: BE00015B5301DE0E 1FB9A406F3A48BD0 ...[S...........
050: EB74909CFB80FCAB 7505B855559DCF3D .t......u..UU..=
060: 003D754050535152 565706B9410030C0 [email protected].
070: 8BFA1E07F2AE83EF 048BF7560E07B904 ...........V....
080: 00BF8902F3A683F9 0075045EEB0D90BF .........u.^....
090: 8C02B904005EF3A6 83F900075F5E5A59 .....^......_^ZY
... .. .. .. .. .. .. .. .. .. .. .. .. ..
0A0: 5B58740950FEC43D 004C587513505351 [Xt.P..=.LXu.PSQ
0B0: 525657061EE91F01 1F075F5E5A595B58 RVW......._^ZY[X
0C0: 9DEA60142B028EDA B82135CD213E891E ..`.+....!5.!>..
0D0: C2013E8C06C4013E 891E75033E8C0677 ..>....>..u.>..w
0E0: 038D165301B82125 CD215ABBB00201D3 ...S..!%.!Z.....
0F0: 2E803F0074411F8C D80E1F8BCA5F0750 ..?.tA......._.P
170: FC8A0434BB880546 47E2F6B800015B50 ...4...FG.....[P
180: C3F7854006CC7DE5 1145584565786555 ...@..}..EXEexeU
190: 767F637473717560 566F726F6E657A68 v.ctsqu`Voronezh
1A0: 2C3139393020322E 3031B430CD213C00 ,1990 2.01.0.!<.
1B0: 0100081A00110300 000000002A390000 ............*9..
... .. .. .. .. .. .. .. .. .. .. .. .. ..
5B0: 595B53BA4007CD21 B80042BA0000B900 Y[S.@..!..B.....
5C0: 00CD21BB1001BE83 028B0CBA0001B440 ..!............@
5D0: 5B53CD215B5A5953 B80157CD218B16D4 [S.![ZYS..W.!...
5E0: 028E1ED202B80143 2E8B0ED002CD210E .......C......!.
5F0: 1F5BE80300E9C0FA B8003ECD218B1E85 .[........>.!...
600: 028E068702B82425 CD21C3558BEC1EB8 ......$%.!.U....
610: 01438B16D4028E1E D20231C9CD217306 .C........1..!s.
620: 1F5D58E945FF368B 5E04B8003ECD21B8 .]X.E.6.^...>.!.
630: 023DFA9C2EFF1EC2 011F368946045DC3 .=........6.F.].
5.2.4. Другие представители иерусалимской группы.
Как уже указывалось, вирусы иерусалимской группы относятся к од-
ним из самых распространенных. Среди них следует отметить первоап-
рельскую подгруппу, а также вирус FU MANCHU. В настоящее время эти
вирусы в СССР еще не выделены. Некоторые сведения о них приводятся
в прил. 3.
5.3. Группа TP-вирусов
Данная группа резидентных вирусов имеет болгарское происхожде-
ние. По данным В.Бончева, они написаны техно-крысой из софийского
вуза ВМЕИ им. В.И.Ленина (теперь Технический университет). В нее
входит 12 отличающихся друг от друга, но несомненно принадлежащих
одному автору штаммов. Вирусы разработаны в конце 1988 -- начале
1989 г. Впервые эти штаммы были описаны В.Бончевым ( окончившим,
кстати, ВМЕИ им. В.И.Ленина в 1984 г.), который, по его собствен-
ному признанию, знаком с написавшей их техно-крысой. Об этом, так-
же, свидетельствуют и некоторые факты. Во-первых, в статье [ ]
В.Бончев утверждает, что заражение EXE-файла несколько сложнее,
чем COM- файла, но возможно, хотя на самом деле сложность зараже-
ния COM- и EXE- файлов примерно равны. И, действительно, первые
штаммы вирусов данной группы заражают EXE-файл специальным, более
сложным способом, основанным на предварительной переделке EXE-фай-
ла в COM- файл. Во-вторых, бросается в глаза подробность, с кото-
рой в [14] описаны технические решения, использованные в ряде
штаммов этой группы, причем само описание ведется с характерной
скорее для разработчика, чем для исследователя, точки зрения. В
первой статье, где упомянуты вирусы данной группы [КВ.3-4'89], уже
указана такая "тонкая" подробность, как "вытеснение" старшими
штаммами группы штаммов с меньшими номерами в зараженных файлах,
хотя в самой статье упоминаются только вирусы подгруппы VACSINE,
для которых "вытеснение" имеет место лишь в оперативной памяти. В
третьих, в статье [13] указывается, что автором создан и фаг для
этой группы вирусов, а единственным известным болгарским полифагом
для данной группы является программа TP48CLS В.Бончева т.е. неиск-
лючено, что алгоритм "выкусывания" был предоставлен В.Бончеву са-
мим автором этих вирусов.
По оценке большинства исследователей, вирусы написаны специалис-
том высокой квалификации. Ни один из вирусов этой группы не ориен-
тирован на нанесение вреда данным или программам на зараженном им
компьютере. Для большинства представителей этой группы отличитель-
ным признаком является строка F47Ah в начале тела вируса за кото-
рой следует номер штамма. При этом, кроме версии TP-45 (Yankee
Doodle-2D), указанная строка повторяется в конце тела вируса, т.е.
в конце зараженного им файла, что позволяет быстро определить вер-
сию заразившего тот или иной файл вируса путем просмотра дампа па-
мяти. Как видно из приводимых ниже дампов, байт F4h расположен со
смещением 4 от конца, а байт 7Ah -- со смещением 3. Следующий за
этой парой байтов (F4h, 7Ah) байт и определяет номер штамма. Штам-
мы, входящие в данную группу можно разделить на три подгруппы.
1) Подгруппа VACSINA (TP-4, TP-5 и TP-16). Это первые представи-
тели данной группы, разработанные примерно в конце 1988 г. Все они
содержат строку "VACSINA", выполняют преобразование EXE-файлов в
COM-файлы в два этапа и не заражают файлов размером больше 64К.
2) Подгруппа музыкальной перезагрузки (ТР-24 и TР-25). Штаммы,
входящие в данную подгруппу, играют мелодию Yankee Doodle Dendy
при перезагрузке. Ограничение на размер заражаемых EXE-файлов со-
храняется.
3) Подгруппа музыкальных самоедов (TP-33, TP-34, TP-38, TP-39,
TP-41, TP-44 и TP-45). Штаммы, входящие в данную подгруппу
разработаны примернов марте-апреле 1989 г. Они играют указанную
выше мелодию в 17 часов, а начиная с TP-38 обладают средствами об-
хода резидентных фильтров и защиты от трассировки на зараженной
машине. Размер заражаемых EXE-файлов не ограничен, а заражение
ведется общепринятым способом.
В первом приближении "динамика" изменений свойств данной группы
вирусов может быть представлена следующим образом (изложение бази-
руется на материалах, предоставленных Д.Н.Лозинским): до версии
TP-05 при заражении портится дата создания файла; до TP-09 включи-
тельно при заражении COM-файла требуется, чтобы первой командой
программы была JMP (т.е. файл начинался с кода E9).
До TP-16 заражение EXE программ произходит в два этапа. На
первом этапе EXE-программа трансформируется в COM-формат, путем
дописывния специального "псевдозагрузчика" размером 132 байта,
присоединяющегося по типу вируса, но лишенного способности к
самостоятельному размножению. Следует отметить, что преобразование
EXE-файла в COM-файл, выполняемое вирусом, отличается от
преобразования, выполняемого утилитой EXE2COM и, тем самым,
представляет некоторый самостоятельный интерес. На втором этапе
получившийся агрегат заражается как обычный COM-файл (полифаг
AIDSTEST распознает такой "агрегат" и помечает его в протоколе как
(FL)).
Следующие версии, включая TP-34, также преобразуют файлы типа
EXE в файлы типа COM, однако делают это в один прием. По-видимому,
штаммов от TP-16 до TP-24 вообще не существует. Начиная с версии
TP-35 EXE-программы сохраняют свой формат, причем во всех заражае-
мых модулях со смещением 12h от начала стоит расстояние до начала
вируса, деленное на 16. Одновременно в начале вируса дублируется
сигнатура F47A и номер версии. Версия TP-45 при заражении EXE-про-
граммы в конец файла эту информацию не пишет. С версии TP-24 раз-
множение не обнаруживается резидентными антивирусными программами,
следящими за записью в программные файлы, поскольку вирус передает
управление непосредственно в BIOS, обходя сторожей. С версии TP-33
вирусы принимают меры защиты от трассировки. В предыдущей главе
описан нерезидентный вирус E-1961, называемый SCAN Yankee Doodle
Short длиной 1961 байт, однако с данной группой его объединяет
только общность играемой мелодии.
Для данного семейства вирусов просматривается прямая аналогия с
описанной выше игрой Animal, хотя конструктивная цель в данном
случае отсутствует. Номер версии вируса используется данным виру-
сом для идентификации себя в оперативной памяти и возвращается ре-
зидентными частями вируса при выполнении прерывания 21-C500 для
версий 19h, 21h, 22h или 21-C600 для версий 26h, 29h, 2Сh. При
этом, если запускать поочередно файлы, зараженные вирусами разных
версий в порядке возрастания версий, то в оперативной памяти будет
создана как бы цепочка резидентных вирусов, причем при запуске не-
зараженной программы она будет инфицирована версией вируса с наи-
большим номером. Если же начать загружать зараженные программы в
порядке убывания версии вируса, то версии с меньшими номерами не
будут становиться резидентными. Используя эту идею, В. Пономаренко
создал резидентную поливакцину NEATVAC (СП 2-7), позволяющую бло-
кировать заражение оперативной памяти данным вирусом.
Кроме того, и это существенно усиливает аналогию с игрой Animal,
резидентный вирус, входящий в подгруппу самоедов, при попытке за-
ражения некоторой программы не только контролирует, заражена уже
эта программа или нет, но и определяет номер версии, если програм-
ма уже заражена одним из вирусов данной группы. Дальнейшие дейст-
вия вируса зависят от того, больше этот номер версии его собствен-
ного номера или нет. Если программа заражена вирусом с меньшим но-
мером, то вирус заменит эту версию на свою, предварительно "выку-
сив" старую. Поскольку вирус при этом проверяет только последние
байты файла, можно вакцинировать файл от большинства вирусов этой
группы, дописав в конец строку F4 7A FF 00.
Полидетектор SCAN называет представителей данной группы вирусов
"Vacsina virus [Vacs]" или "Yankee Doodle Virus [Doodle]", причем
ранние (до 66) версии SCAN часто выдают для зараженного файла оба
имени одновременно, что обычно не означает заражения модуля двумя
вирусами, а связано с несовершенством используемых в нем сигнатур.
5.3.1. Подгруппа Vacsina
Данная подгруппа получила свое название в связи с тем, что все
входящие в нее штаммы содержат строку "VACSINA". Заражаются как
COM-, так и EXE-файлы, причем максимальная длина зараженных файлов
не превышает 64К. Заражение файлов происходит при запуске на вы-
полнение соответствующих программ. При заражении вирусы данной
подгруппы дописывают свое тело в конец COM- и EXE-файлов. Штаммы
подгруппы работоспособны на любой версии MS DOS. Проверка номера
версии в теле вируса не выполняется. Перехватывают прерывание 21h.
Заражаются только COM-файлы, имеющие размер мeнее 63К и начинаю-
щиеся с команды перехода (первый байт файла должен содержать E9h).
Дата создания и атрибуты остаются неизменными. Заражение выполня-
ется однократно. При заражении вирус дописывает тело в конец фай-
ла, вставляя в первые три байта команду перехода на начало вируса.
Длина зараженного файла увеличивается до значения, кратного 16,
поэтому при лечении недостаточно укорачивать файл на стандартную
величину -- исходная длина файла должна быть извлечена из тела ви-
руса. В конце тела вируса хранятся байты F4h, 7Ah, по которым ви-
рус определяет, что данный СOM-файл уже заражен.
Как уже отмечалось, заражение EXE-файлов выполняется данной
группой очень своеобразно: в заголовок заражаемого EXE-файла запи-
сывается команда перехода на тело вируса (в данном случае тело
представляет собой часть вируса размером 132 (84h), обеспечивающую
загрузку EXE-файлов, т.е. по сути выполняет функции системного за-
грузчика). Таким образом, вирус переделывает зараженный EXE-файл в
COM-файл. Этот "псевдозагрузчик" EXE-файлов обеспечивает настройку
загруженного в память файла и передачу на него управления. Для ле-
чения такого файла достаточно восстановить первые три байта с уче-
том первоначальной длины файла и укоротить файл на 132 байта. EXE-
файлы, требующие не всю свободную память системы (не равна FFFF
переменная MaxMem в заголовке), данным вирусом не заражаются. Кро-
ме того, вирус не заражает файлы, размер которых больше 64К или
размер которых превысил бы 64К при заражении. Поскольку после за-
ражения EXE-файл фактически превращается в COM-файл, возможно его
вторичное заражение вирусом, уже как файла типа COM.
5.3.1.1. Вирус RСE-1206 (ТР-05, VACSINA-5)
Данный вирус является наиболее распространенным в подгруппе, по-
этому рассмотрение подгруппы мы начнем именно с него. Формально
вирус RСE-1206 является файловым резидентным вирусом, поражающим
как файлы типа СОМ, так и файлы типа EXE. Зараженный COMMAND.COM
имеет размер 26509 байтов (если его первоначальный размер был
25307 байтов). Длина вируса составляет 1206 (4B6h) байтов. Заража-
ются COM-файлы длиной от 1206 (4B6h) до 62867 (F593h) байтов и
EXE-файлы длиной до FDB3h байтов при загрузке их в память для вы-
полнения (21-4Bh).
Инсталляция вируса выполняется обычным образом. При выполнении
зараженной COM-программы управление командой JMP (Е9h) передается
на начало вируса. Первыми командами вирус узнает длину исходного
файла и проверяет наличие своей копии в памяти компьютера. Если
компьютер не заражен, то вирус копирует всю программу в свободное
место в памяти и, таким образом, остается резидентным. Затем вирус
перехватывает прерывание 21h. В результате при запуске любой про-
граммы вирус получает управление, проверяет, является ли запускае-
мая программа зараженной, и если нет, то заражает данную программу
на диске. Определение зараженности программы основано на считыва-
нии последних 3 байтов зараженной программы.
У заражаемого COM-файла вирус проверяет первый байт. Если этот
байт не равен E9h (JMP), то файл не заражается. При заражении дли-
на файла увеличивается до значения, кратного параграфу (16 бай-
тов), к файлу добавляются 1206 байтов вируса и изменяются первые 3
байта файла (JMP на тело вируса). При заражении EXE-файла к нему
дописываются 132 байта из тела вируса и изменяются первые 3 байта
файла (JMP на тело вируса), при этом файл преобразуется в формат
COM. Дописанные к файлу 132 байта не распространяют вирус и лишены
способности к размножению. Их действие заключается в настройке ад-
ресов программы при ее запуске (псевдозагрузчик).
Фаза проявления для данного вируса привязана к моменту заражения
файла: при заражении файла раздается звуковой сигнал (BELL).
Резидентная часть вируса обнаруживается путем просмотра списка
резидентных программ (с помощью утилит MAP, SMAP, MMAP и т.д.).
При этом видна "подозрительная" дополнительная программа, не имею-
щая ни имени, ни родителя и имеющая размер 1200 байт. Являясь ре-
зидентным, вирус распознает случаи загрузки программ с защищенных
от записи дискет или разделов винчестера и не пытается заражать
такие файлы.
При запуске вирус создает на диске скрытый файл, который, по-ви-
димому, никакого назначения не выполняет и, возможно, использовал-
ся при отладке.
Исторические замечания. По данным статьи Бончева [11], вирус
имеет болгарское происхождение и разработан в конце 1988 г. В Мос-
кве вирус появился весной 1989 г. В Киеве появился вместе с компь-
ютерами, приобретенными у одного из московских кооперативов в сен-
тябре 1989 г. Из советских авторов вирус RСЕ-1206 впервые, по-ви-
димому, описал О.Котик в документации к полифагу ANTI-KOT, который
был первым фагом против данного вируса, широко использовавшимся в
Киеве.
Неформальные названия. Помимо приведенных выше названий,
используется название Sina.
Программные средства защиты. Фаги см. прил.1. Вакцина -- NEATVAC.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1206
100 E9C90A9090909090 9090909090909090 ................
110 9090909090909090 9090909090909090 ................
*** Далее следуют строки, идентичные предыдущей ***
810 9090909090909090 9090909090C31A90 ................
820 4D07004B00000000 0000000000000000 M..K............
830 60020B105605AB0E 2000050090909090 `...V... .......
840 9090C31A00564143 53494E4120202020 .....VACSINA
850 0000800000000000 7C1137A80040C200 ........|.7..@..
860 460A000000000000 0020202020202020 F........
870 2020202020202020 2020202020E80000 ...
880 5B508CC00510008B 0E0E0103C8894FFB [P............O.
890 8B0E160103C8894F F78B0E1001894FF9 .......O......O.
8A0 8B0E1401894FF58B 3E18018B160801B1 .....O..>.......
8B0 04D3E28B0E0601E3 1726C5B5000183C7 .........&......
8C0 048CDD26032E0801 03E88EDD0104E2E9 ...&............
8D0 0E1FBF00018BF281 C600018BCB2BCEF3 .............+..
8E0 A458FA8E57FB8B67 F9FBFF6FF5B003CF .X..W..g...o....
8F0 9C3D004B74069D2E FF2E0000061E5557 .=.Kt.........UW
900 56525153508BECB8 2435CD212E8C0606 VRQSP...$5.!....
910 002E891E04000E1F BABD00B82425CD21 ............$%.!
920 0E1FBA1400B40FCD 21B800438E5E0E8B ........!..C.^..
930 5606CD217303E9DA 012E890E0800B801 V..!s...........
940 4380E1FECD217303 E9C801B8023D8E5E C....!s......=.^
950 0E8B5606CD217303 E9A8012EA30A008B ..V..!s.........
960 D80E1FBA0C00B906 00B43FCD2172193D ..........?.!r.=
970 060075142E813E0C 004D5A7503E9B501 ..u...>..MZu....
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
C80 2E8B162C004A8EC2 268C0E0100B82135 ...,.J..&.....!5
C90 53CD21368C060200 36891E00005BB821 S.!6....6....[.!
CA0 258CD28EDABAC000 CD21B800008EC026 %........!.....&
CB0 C706C5007F3926C6 06C700058CC88ED8 ....9&.........
CC0 B41ABA5000CD212E 8B47FBE94EFF1F07 ...P..!..G..N...
CD0 0502F47A0500 ...z..
+----+
сигнатура
Пример карты памяти зараженного компьютера
Addr Program Parent Sg Bytes Hooked Vectors
------ -------- -------- -- ------ -----------------
(1111) DOS N/A 2 3536
(17E8) DOSEDIT DOS 2 2016 21
(11F9) DOSEDIT DOS 2 2032
(127B) BETA DOS 2 4064
(137B) N/A DOS 1 3808 03 43
(146A) N/A DOS 1 928 10
(14A5) N/A DOS 1 1264
(14F5) N/A DOS 1 912 09
(152F) N/A DOS 1 736 16 2F
(155E) N/A DOS 1 560
(1582) N/A DOS 1 3296
(1651) N/A DOS 1 5280 17
(0007) N/A N/A 1 1200
5.3.1.2. Вирус RCE-1212 (ТР-04, Vacsina-04).
За исключением нескольких команд, вирус практически полностью
совпадает с вирусом VASCINA-05. Длина вируса составляет 1212 бай-
тов. Иногда портит дату создания файла.
Исторические сведения. Вирус распространялся на вирусной дискете
В.Бончева. Содержащийся на ней файл TP4VIR.COM датирован 13
декабря 1988 г.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1212
000: E969089090909090 9090909090909090 .i..............
010: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
4C0: 4D07004B00000000 0000000000000000 M..K............
4D0: 5C06FD1856059D10 2000050090909090 \...V... .......
4E0: 9090909005564143 53494E4120202020 .....VACSINA
4F0: 0000800000000000 7011C3900240C200 ........p....@..
500: D009000000000000 0020202020202020 .........
510: 2020202020202020 2020202020E80000 ...
520: 5B508CC00510008B 0E0E0103C8894FFB [P............O.
530: 8B0E160103C8894F F78B0E1001894FF9 .......O......O.
540: 8B0E1401894FF58B 3E18018B160801B1 .....O..>.......
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
920: 5B2E8C0E36002E8B 162C004A8EC2268C [...6....,.J..&.
930: 0E0100B8213553CD 21368C0602003689 ....!5S.!6....6.
940: 1E00005BB821258C D28EDABAC000CD21 ...[.!%........!
950: B800008EC026C706 C5007F3926C606C7 .....&.....9&...
960: 00048CC88ED8B41A BA5000CD212E8B47 .........P..!..G
970: FBE948FFC0040301 F47A0400 ..H......z..
+--------+
сигнатура
5.3.1.3. Вирус RCE-1339 (ТР-16, Vacsina-10)
Длина этого вируса 1339 (53Bh) при заражении COM- и 1483 -- EXE-
файлов. Как и во всех вирусах рассматриваемой подгруппы, заражение
EXE-файлов происходит в две стадии. После первой стадии файл удли-
няется на 132 байта. Никаких действий, кроме размножения, вирус не
выполняет. Заражаются COM-файлы длиной от 1339 (53Bh) до 62601
(F489h) байтов и EXE-файлы длиной до FDB3h байтов при загрузке их
в память для выполнения (21-4Bh). По структуре вирус довольно бли-
зок к RCE-1206 (VASCINA-05), однако заражает COM-файлы вне зависи-
мости от первого байта файла (вирус VACSINA-05 заражает только
файлы, первый байт которых равен E9h).
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1339
000: E94D099090909090 9090909090909090 .M..............
010: 9090909090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
540: 4D08005300000000 0000000000000000 M..S............
550: 5C06FD1856059D10 20000500AE002100 \...V... .....!.
560: 9090909090909090 9090909090900056 ...............V
570: 414353494E412020 2020000080000000 ACSINA ......
580: 00009C11FB750140 C200460A00000000 [email protected].....
590: 0000002020202020 2020202020202020 ...
5A0: 20202020202020E8 00005B508CC00510 ...[P....
5B0: 008B0E0E0103C889 4FFB8B0E160103C8 ........O.......
5C0: 894FF78B0E100189 4FF98B0E1401894F .O......O......O
5D0: F58B3E18018B1608 01B104D3E28B0E06 ..>.............
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
A40: 00005BB821258CD2 8EDABACA00CD21B8 ..[.!%........!.
A50: 00008EC026C706C5 007F3926C606C700 ....&.....9&....
A60: 108CC88ED8B41ABA 5000CD212E8B47FB ........P..!..G.
A70: E92DFF40050301F4 7A10E9 [email protected]..
+-----+
сигнатура
5.3.2. Подгруппа музыкальной перезагрузки
Штаммы, входящие в данную группу, имеют характерную фазу прояв-
ления: в зараженной ими системе попытка перезагрузки MS DOS с по-
мощью комбинации нажатий клавиш CTRL-ALT-DEL вызывает в начале
звучание мелодии "Янки дудль денди". Звучание продолжается пример-
но 20 с., а затем происходит нормальная перезагрузка системы.
5.3.2.1. Вирус RСE-1805 (ТP-25, Yankee Doodle-19 --
Янки дудль-19, Музыкальная перезагрузка)
Вирус RСE-1805 является файловым резидентным вирусом, поражающим
как файлы типа СОМ, так и файлы типа EXE. Заражение файлов проис-
ходит при запуске на выполнение соответствующих программ. Заражает
COMMAND.COM. Вирус работоспособен на любой версии MS DOS.
При запуске зараженной программы данный вирус сначала проверяет,
имеется ли уже резидентный вирус, по описанной выше схеме, единой
для данной группы. При этой проверке возвращается номер версии ре-
зидентного вируса, если он есть в оперативной памяти. Если номер
версии резидентного вируса меньше, чем номер версии вируса в зара-
женной программе или вирус в оперативной памяти отсутствует, то
старшая версия вируса из зараженной программы становится резидент-
ной и перехватывает прерывания 09 и 21.
Заражение выполняется при запуске программы на выполнение.
Получив управление по прерыванию 21-4B вирус проверяет, является
ли запускаемая программа зараженной, и если нет, то заражает дан-
ную программу на диске. При этом вирус изменяет первые 14 байтов
зараженной программы и дописывает в конце программы собственное
тело. Определение зараженности программы основано на считывании
последних 8 байтов зараженной программы. Подобно вирусу RC-1701,
RCE-1805 не проверяет, загружается ли файл с защищенной дискеты
или нет.
Зараженные файлы увеличиваются в размере на 1805-1820 байтов,
причем дата их создания и атрибуты остаются неизменными. Заражение
выполняется однократно.
Фаза проявления была описана выше. Никаких других несанкциониро-
ванных действий, кроме проигрывания мелодии при нажатии клавиш
CTRL-ALT-DEL, вирус не выполняет.
Резидентная часть вируса обнаруживается путем просмотра списка
резидентных программ (с помощью утилит MAP, SMAP, MMAP и т.д.).
При этом видна "подозрительная" дополнительная программа, не имею-
щая ни имени, ни родителя и имеющая размер 1792 байт. При этом в
графе "Hooked vectors" не указано ни одного перехваченного преры-
вания, что, конечно же, не соответствует действительности. Вирус
обращается к 21 прерыванию непосредственно, а не с помощью команды
INT, что обеспечивает обход простейших фильтров типа VIRBLK.
Исторические замечания. Данный вирус был обнаружен в Киеве в
июле 1989 г. Одним из первых этот вирус исследовали В.Е.Еременко и
Е.Ю.Портной, которые самостоятельно разработали фаг для этого ви-
руса в сентябре 1989 г. Первым попавшим в Киев фагом против данно-
го вируса была программа VDEATH. В настоящее время вирус
практически полностью уничтожен.
Программные средства защиты. Рекомендуемые полифаги приведены в
табл.1. Вирус содержит примитивные средства защиты против трасси-
ровки и обхода резидентных средств защиты. В частности, попытки
записи вируса в запускаемый файл не обнаруживаются ни VIRBLK, ни
ANTI4US2. Фильтр ANTI4US2 не срабатывает на попытку вируса стать
резидентным. При использовании Advanced Disk Manager вирус не в
состоянии попасть в разделы винчестера, для которых установлен
статус READ ONLY. Однако при этом блокируется вызов программ.
Имеется резидентная вакцина (NEATVAC).
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1805
000: E9B5079090909090 9090909090909090 ................
010: 9090909090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
400: 4D08007000000000 0000000000000000 M..p............
410: 050EC32B60142602 5605E3281101FB2A ...+`.&.V..(...*
420: 2000050006052100 000000010C909090 .....!.........
430: 9090909090909090 909090FF2E10009C ................
440: FA2EFF1E1400C353 502E8B1E2200B445 .......SP..."..E
450: E8ECFF72098BD8B4 3EE8E3FFEB01F858 ...r....>......X
460: 5BC3B003CF50E460 3C53752EB402CD16 [....P.` 470: 240C3C0C75248CC8 8ED88ED0BCFEFF2E $.<.u$..........
480: 803E2C000A7203E8 C405B800008ED8C7 .>,..r..........
490: 0672043412EAF0FF 00F0582EFF2E1C00 .r.4......X.....
4A0: 9C3D004B74613D00 C574483D01C57448 .=.Kta=..tH=..tH
4B0: 3D02C5744B3D03C5 740C9D2EFF2E1000 =..tK=..t.......
... .. .. .. .. .. .. .. .. .. .. .. ..
5F0: B900008BD18B1E22 00E843FE72E583FA ......."..C.r...
600: 0075E03D200076DB 3D1DF09073D5A305 .u.= .v.=...s...
610: 07B80042B900008B D18B1E2200E81FFE ...B......."....
620: 72C1BA2D00B90E00 B43FE812FE72B43D r..-.....?...r.=
630: 0E0075AF813E2D00 4D5A740B813E2D00 ..u..>-.MZt..>-.
... .. .. .. .. .. .. .. .. .. .. .. .. AA0:
C400DC00C400AE00 A400AE00C400DC00 ................
AB0: F600DC00AE00DC00 F6000601DC00C400 ................
AC0: 0601F60025010601 0601FFFF19191919 ....%...........
AD0: 1919191919191919 3232191919191919 ........22......
AE0: 1919191919193232 1A191A1919191919 ......22........
AF0: 1A191A1919191E1A 191A191919191E19 ................
B00: 1919193232000493 91F47A1990 ...22.....z..
5.3.2.2. Вирус RСE-1760 (ТP-24, Yankee Doodle-18 --
Янки дудль-18, Музыкальная перезагрузка)
Данный штамм практически не отличается от предыдущего.
Фрагмент дампа программы DUMY.COM,
зараженной вирусом RCE-1760
000: E9B8039090909090 9090909090909090 ................
010: 9090909090909090 9090909090909090 ................
020: 9090909090909090 9090909090909090 ................
030: 4D08006D00000000 0000000000000000 M..m............
040: 3903981460146402 56059D10E6049A11 9...`.d.V.......
050: 2000050045002100 000000012F909090 ...E.!...../...
060: 9090909090909090 909090FF2E10009C ................
070: FA2EFF1E1400C353 502E8B1E2200B445 .......SP..."..E
080: E8ECFF72098BD8B4 3EE8E3FFEB01F858 ...r....>......X
090: 5BC3B003CF50E460 3C53752EB402CD16 [....P.` 0A0: 240C3C0C75248CC8 8ED88ED0BCFEFF2E $.<.u$..........
0B0: 803E2C000A7203E8 9705B800008ED8C7 .>,..r..........
0C0: 0672043412EAF0FF 00F0582EFF2E1C00 .r.4......X.....
0D0: 9C3D004B74613D00 C574483D01C57448 .=.Kta=..tH=..tH
0E0: 3D02C5744B3D03C5 740C9D2EFF2E1000 =..tK=..t.......
0F0: 9DFBF9CA0200B819 002EF6062B000275 ............+..u
... .. .. .. .. .. .. .. .. .. .. .. ..
630: C4E6615F5A5958C3 8B3C83FFFF74113E ..a_ZYX..<...t.>
640: 8A5E002AC92AFFE8 C2FF83C6024575E8 .^.*.*.......Eu.
650: C3BE2B06BD9F06E8 DEFFC30601060125 ..+............%
660: 0149010601490125 01C4000601060125 .I...I.%.......%
670: 0149010601060106 010601250149015D .I.........%.I.]
680: 01490125010601F6 00C400DC00F60006 .I.%............
690: 010601DC00F600DC 00AE00DC00F60006 ................
6A0: 01DC00C400DC00C4 00AE00A400AE00C4 ................
6B0: 00DC00F600DC00AE 00DC00F6000601DC ................
6C0: 00C4000601F60025 0106010601FFFF19 .......%........
6D0: 1919191919191919 1919193232191919 ...........22...
6E0: 1919191919191919 1932321A191A1919 .........22.....
6F0: 1919191A191A1919 191E1A191A191919 ................
700: 191E191919193232 30009391F47A1890 ......220....z..
+----+
сигнатура
5.3.3. Подгруппа музыкальных самоедов
В данную подгруппу входят наиболее совершенные штаммы данной
группы вирусов. По-видимому, все представители данной группы игра-
ют в 17.00 мелодию Янки Дудль Денди, поэтому их иногда называют
Five o'clock (Пять часов). Штаммы, входящие в данную подгруппу
увеличивают свои функциональные возможности, с возрастанием номера
версии. Стиль написания вируса создает впечатление перекодировки с
языка высокого уровня. Возможно, прототип был предварительно напи-
сан на Турбо Паскале, отсюда и название TP. Для структуры этой
подгруппы характерно наличие многочисленных подпрограмм и активное
использование стека. При анализе дампов программ, зараженных штам-
мами данной подгруппы, обращает на себя внимание тот факт, что все
они содержат группы повторяющихся символов с кодом 05. Поэтому для
контекстного поиска зараженных файлов можно использовать строку,
состоящую из восьми повторений символа с шестнадцатиричным кодом
05.
Начиная со штамма RCE-2661 (ТР-38) в них применяется защита от
обнаружения фильтрами, перехватывающими прерывание 21. Примененный
прием основан на выполнении трассировки программ, "сидящих" на 21
прерывании до попадания в "оригинальный" обработчик MS DOS, и за-
поминании соответствующего адреса. Кроме того, именно с этого
штамма наблюдается эффект "самоизлечения" зараженной программы,
при попытке трассировки ее на зараженной вирусом машине.
Среди данной подгруппы впервые встречается попытка реализовать
модификацию одного вируса другим вирусом. Начиная со штамма ТР-42,
вирус проверяет, заражен ли компьютер, на котором он распространя-
ется вирусом Bx1-1C (Пинг-понг). Если да, то выполняется модифика-
ция вируса Bx1-1C в памяти таким образом, что в код вируса вводит-
ся специальный счетчик, инициализируемый значением 255. После за-
ражения дискеты вирус уменьшает счетчик на единицу и при достиже-
нии счетчиком значения нуль перестает размножаться. Кроме того,
начиная со штамма TP-44, мелодия играется не каждый раз при дости-
жении часами значения 17.00, а с вероятностью приблизительно 1/8,
что несколько затрудняет обнаружение вируса.
Наиболее распространенным представителем этой группы является
штамм RCE-2885 (Five o'clock; TP-44), с которого мы и начнем опи-
сание представителей данной группы.
5.3.3.1. Штамм RCE-2885 (TP-44,
Yankee Doodle-2C - Янки дудль-2С, Five o'clock)
Вирус RСE-2885 является файловым резидентным вирусом, поражающим
как файлы типа СОМ, так и файлы типа EXE. Заражение файлов проис-
ходит при запуске на выполнение соответствующих программ. Зараже-
ние COMMAND.COM происходит сразу после инсталляции вируса в верх-
ние адреса свободной оперативной памяти, поскольку при этом зати-
рается транзитная часть COMMAND.COM. Зараженный командный процес-
сор имеет длину 28197, при исходной длине 25307.
Зависимости работоспособности вируса от версии MS DOS не
обнаружено. Проверка номера версии в теле вируса не выполняется.
Перехватывает прерывания 1, 3, 1Ch, 21h. Дата создания и атрибуты
заражаемого файла остаются неизменными. Заражение выполняется од-
нократно.
При заражении COM-файлов вирус дописывает свое тело в конец фай-
ла, вставляя в первые три байта команду перехода на начало вируса.
Зараженные COM-файлы увеличиваются на 2885 (B45h) байтов (с вырав-
ниванием на границу параграфа). Заражаются COM-файлы длиной от 20h
до F277h байтов. В конце зараженного файла расположена четырехбай-
товая сигнатура вируса 7Fh, 39h, 2Ch, 00h.
При заражении EXE-файлов вирус также дописывает свое тело в ко-
нец файла с выравниванием начала вируса на границу параграфа. При
этом размер файла увеличивается на 2881 (B41h) байт. Длина при за-
ражении EXE- файлов не контролируется. В конце зараженного EXE-
файла четырехбайтовая сигнатура отсутствует.
При инсталляции вирус узнает длину исходного файла, восстанавли-
вает истинный стартовый адрес программы и проверяет наличие своей
копии в памяти компьютера. Если компьютер не заражен или заражен
более ранней версией вируса, то RCE-2885 копирует себя в область
памяти либо сразу за телом программы, либо выделенную функцией
ALLOC (21-48h) и, манипулируя с MCB, остается резидентным в памя-
ти, перехватывая прерывания 21h, 1Ch и 09h.
Вирус RCE-2885 проверяет, загружается ли файл с защищенной дис-
кеты или нет. Поэтому он не препятствует загрузке любого СОМ-файла
с защищенной дискеты. Резидентная часть вируса не обнаруживается
путем просмотра списка резидентных программ (с помощью утилит MAP,
SMAP, MMAP и т.д.). При этом вирус не детектируется программой
RELEASE, а попытка запустить RELEASE на зараженной машине приводит
к выдаче сообщения о том, что RELEASE не может стать резидентным.
Вирус обходит контроль резидентных фильтров, следящих за записью в
программные файлы.
Фаза проявления данного вируса состоит в проигрывании с вероят-
ностью 1/8 мелодии Янки Дудль ("Yankee Doodle") в 17 часов (точ-
нее, в 16:59:53). Никаких разрушений или манипулирований с данными
вирус не выполняет.
При попытке дизассемблирования дизассемблером Sourcer, а также
трассировке на зараженной машине, наблюдается эффект "самоизлече-
ния" файлов. Этот достаточно "экзотический" эффект достигается за
счет контроля прерываний 1h и 3h при получении управления по пре-
рыванию 1Ch. По умолчанию процедуры обработки этих прерываний со-
стоят из одной команды возврата. При загрузке программы, перехва-
тывающей данные прерывания (программа трассировки или дизассемблер
типа SOURCER), вирус устанавливает для указанных прерываний собст-
венные процедуры обработки. Последние проверяют, не произошли ли
эти прерывания из кодового сегмента, в котором расположена рези-
дентная часть вируса, и если да, запускают подпрограмму восстанов-
ления кода вируса, тем самым отключая программу трассировки.
Другими словами контроль прерываний 1 и 3 состоит в том, что, пока
процедуры обработки этих прерываний состоят из одной команды воз-
врата из прерывания, никаких действий вирусом не производится, но
стоит Вам загрузить программу, модифицирующую адреса обработчика
данных прерываний (например, отладчик), как вирус установит для
них собственные процедуры обработки. Основной целью перехвата уп-
равления при обработке прерываний 1h и 3h является проверка, не
произошли ли эти прерывания из кодового сегмента, равного сегменту
загрузки в память резидентного вируса. Если это так, то кто-то пы-
тается посмотреть работу вируса под отладчиком, и в ответ на это
вызывается специальная процедура восстановления кода вируса, чем
прерывается работа отладчика.
Аналогичным образом реализовано самоизлечение загружаемых в
трассировщик зараженных файлов: резидентная часть вируса отслежи-
вает момент загрузки программы в память без исполнения (21-4Bh,
AH=03), и проверяет, загружают в память зараженную программу или
нет. В последнем случае запускается подпрограмма "выкусывания" ви-
руса. Как уже указывалось, при заражении файлов, зараженных пред-
ыдущими версиями вируса, выполняется сначала "выкусывание", а за-
тем заражение данным штаммом.
Исторические замечания. Впервые вирус был описан В.Бончевым под
названием TP-44. Данный вирус был обнаружен в Киеве в сентябре
1989 г. Первым фагом для данного вируса были программы RVC и RVE.
(для COM- и EXE-файлов, соответственно). В настоящее время данные
программы представляют только исторический интерес.
Неформальные названия. Помимо приведенных в заголовке,
используются следующие названия: Янки Дудль, Музыкальный, Летучий
Голландец, TP-44.
Программные средства защиты. Простейшие средства защиты недоста-
точно эффективны против данного вируса. В частности, попытки запи-
си вируса в запускаемый файл не обнаруживаются ни VIRBLK, ни
ANTI4US2. Эффективна защита на уровне дискового драйвера (Advanced
Disk Manager, Dcache и т.д.). Как уже указывалось, вирус содержит
средства защиты против трассировки. Для контроля работы детекторов
|
