6500,6727,6982,6996,7008(1,2),7033(1,2),7034,7640
Очень опасные полиморфные файлово-загрузочные вирусы. Заражают COM,EXE,
BIN, SYS-файлы, а также главную загрузочную запись (MBR) жесткого диска
и загрузочные сектора (Boot Sectors) дискет. Данные вирусы имеют
довольно мощный полиморфный механизм. Инфицированные COM и EXE-файлы
(а также SYS-файлы для вирусов длиной более 6425 байт) содержат
несколько декрипторов, поочередно расшифровывающих друг друга. При
расшифровке основного тела вирусами длиной 2890,2990,3021, 3427,5375,
5413, 5440, 5589, 6082 и 6100 байт используется внутренний конвейер
процессора, поэтому на компьютерах с процессором Pentium данные вирусы
распространяться не смогут. EXE-файлы менее 64K вирусы заражают,
превращая в формат COM-файла. При старте вируса из такого файла, по
окончании своей работы, производится дополнительная настройка
перемещаемых элементов (relocations). При заражении COM и EXE-файлов
вирусы внедряют свой код в середину файлов, зашифровав и перенеся
предварительно программный код в конец файлов. В BIN и SYS-файлы вирусы
записываются в их конец, не шифруя свой код (вирусы длиной более 6425
байт - шифруют). При первом старте вирусы заражают MBR "винчестера" и
отдают управление программе-вирусоносителю. При загрузке системы с
такого диска, вирусы "перехватывают" INT 1Ch, ждут загрузки DOS и
"перехватывают" INT 13h,1Ch,21h, 28h. При старте первой программы через
функцию EXEC (f.4Bh Int 21h) вирусы пытаются получить свободный участок
памяти через функцию распределения памяти (f.48h Int 21h),куда копируют
и оставляют резидентным свой код. По возможности вирусы пытаются
установить свои резидентные копии в область UMB. Int 1Ch используется
иногда вирусами для проигрывания мелодии "Я на солнышке лежу..." из
известного мультфильма. Непосредственную опасность для пользователя
представляет "перехват" вирусами INT 13h (операции с диском). Данное
прерывание вирусы используют для заражения флоппи-дисков. А также для
зашифровки некоторой информации на дисках. При чтении или записи
секторов вирусы (Nutcracker.AB2.2890, 2990, 3021, 3427, 4540) проверяют
равно ли первое слово в буфере значению "MZ"- сигнатуре EXE-файлов.Если
данное слово действительно является "MZ", то вирусы проверяют еще два
последующих слова на соответствие данного сектора EXE-файлу, размер
которого более, чем 65024 байта. Если данное условие выполняется, то
вирусы зашифровывают данный сектор в буфере (512 байт) по определенному
закону, изменяют сигнатуру "MZ" на "AB" и записывают его на диск. При
чтении такого сектора, вирусы проверяют равно ли первое слово "AB" и
если да, то пытаются расшифровать данный сектор по известному закону.
Таким образом, при чтении или запуске EXE-файлов происходит зашифровка
заголовков (512 байт) данных файлов на диске,но в памяти компьютера все
выглядит "достаточно прилично", т.е., EXE-файлы читаются, запускаются и
т.д., как ни в чем ни бывало. При копировании же таких файлов с
"больного" компьютера на "здоровый", данные файлы оказываются
неработоспособными и, скорее всего, "завесят" систему. При обнаружении
вирусов с длинами 2890, 2990, 3021, 3427, 4540 в загрузочном секторе,
программа Dr.Web начнет сканирование секторов всего диска (или всех
жестких дисков) для поиска таких зашифрованных секторов и при
нахождении оных, расшифрует их. Данная операция для моих 4-ех жестких
дисков емкостью более 4G длилась около 20 минут и не было обнаружено ни
одной ложной расшифровки. Но следует напомнить, что расшифровка таких
секторов производится сразу же после уничтожения вируса в загрузочном
секторе диска. При сканировании таких зашифрованных файлов в
незараженной системе детектирование этих файлов с сигнатурой "AB" и
расшифровка их производиться НЕ БУДУТ. Вирусы длиной 6425, 6500, 6727,
6982, 6996, 7008, 7033, 7640 байт являются полиморфиками также и в
загрузочных секторах. Также вместо заголовков EXE-файлов они шифруют
первый сектор подкаталогов с помощью адреса вектора INT 00,находящегося
в ПЗУ ROM BIOS. При нахождении вирусов в памяти программа Dr. Web
исправляет вирусный резидентный код таким образом, что при сканировании
всех файлов во всех каталогах происходит восстановление зашифрованных
данных на дисках. Только необходимо произвести сканирование дисков без
перезагрузки системы после обезвреживания вирусного кода в памяти
компьютера. Вирусы длиной 6082,6100,6500,6727 байт производят упаковку
блока заражаемого файла, поэтому длина файла после заражения данными
вирусами может измениться на величину меньшую,чем длина вирусного кода.
Вирусы содержат некоторые ошибки, в результате которых возможно
появление системного сообщения "Divide overflow" после запуска
некоторых файлов, а также возможно "зависание" системы после старта
инфицированных программ. При заражении главной загрузочной записи MBR
жесткого диска, после первой перезагрузки системы с нее, вирусы (2990,
3021,3427,4540 байт) шифруют часть загрузчика-47 байт с помощью первого
байта вектора INT 00, находящегося в ПЗУ ROM BIOS. Nutcracker.AB2.4540
7 апреля выводит на экран текст "the Sun is gone but I have a light..."
Nutcracker.AB2.6996 12 января выводит текст "Nutcracker(AB2): lives
forever!", Nutcracker.AB2.6982 в этот же день пытается отформатировать
первый жесткий диск. Nutcracker.AB2.7033 12 января "вешает" систему.
Nutcracker.AB2.7008 12 числа месяца может уничтожить информацию на
жестком диске компьютера. Nutcracker.AB2.7640 12 января печатает
содержимое на принтер (INT 5). А также резидентная копия вируса длиной
7640 байт контролирует INT 27h и при попытке какой-то программы (я не
смог выяснить, что это за программа) остаться резидентно в памяти,
вирус пытается форматировать дорожки жесткого диска.Nutcracker.AB2.2890
внедряет в SYS и BIN-файлы троянский код, который может уничтожить
содержимое CMOS - памяти. Nutcracker.AB2.6100 после 555 загрузок с
жесткого диска уничтожает содержимое CMOS-памяти и по 100 первых
секторов двух жестких дисков. Вирусы содержат зашифрованные тексты:
Nutcracker.AB2.2990,3021,6082,6982,7008,7033: Nutcracker(AB2)
Nutcracker.AB2.7640: Nutcracker/AB2
Nutcracker.AB2.3427,4540: Universal Pathologic Device by Nutcracker(AB2)
Nutcracker.AB2.5375, 5413, 5440, 5589:
This Universal Pathologic Device dedicated to Любовь Н.
I hate the envy, the meanness, the riches, the trea, the bluntness,
the ignorance, the lie, the servility, the mistrust and the hatred.
Nutcracker(AB2)
Nutcracker.AB2.6100: Nutcracker(AB2)
Любовь Н.
Nutcracker.AB2.6425,6500,6727 иногда выводят на экран текст:
Nutcracker(AB2): Welcome to the Hell
Nutcracker.AB2.2990, 3021, 3427 не заражают файлы, имя которых
заканчивается на NF, ADINF, видимо. Nutcracker.AB2.6425, 6500, 6727 не
заражают следующие файлы SCAN, CLEAN, VSAFE, NAV, AVP,AIDS,GUARD,NOD,
F-PROT,DESINF,VIRSTOP,VSHIELD,FINDVIRU,VIVERIFY,TB,RKSD,COMMAND,SETVER,
CHKLIST,ADINF,SMARTCHK,ANTI-VIR,CHKDSK,PKZIP,PKLITE,WEB,DRWEB.
Nutcracker.AB3
Опасный резидентный вирус. 12 января и 23 июля уничтожает по 40
секторов логических дисков C:, D:, E:, F:, G:. Запоминает в своем теле
дату старта вируса и через 23 дня замедляет вывод на экран,
"перехватывает" INT 10h (вывод на экран) и производит холостой цикл.
Содержит текст "Nutcracker(AB3)".
Nutcracker.AB4
Очень опасный резидентный вирус. Записывает в MBR жесткого диска
"троянский" код, который 12 января и 23 июля форматирует первые дорожки
первого и второго жесткого дисков. Также при старте любой программы,
резидентная копия вируса увеличивает счетчик, находящийся в загрузочном
секторе текущего диска по смещению 10.При достижении счетчиком значения
64, вирус обнуляет его и создает на данном логическом диске
псевдосбойный кластер. Содержит текст "Sombre Nutcracker(AB4).
Nutcracker.AB5.2725, 2900, 3139
Очень опасные резидентные вирусы. Пытаются быть невидимыми. При каждой
16 стартующей программы уничтожают один случайный сектор на текущем
диске. Уничтожают файлы с расширениями *.MS и *.?AS и таблицы ревизора
диска ADinf. Не заражают файлы с именами, начинающимися на IB и CO.
Записывает в MBR жесткого диска "троянский" код, который после 512
загрузок с жесткого диска может уничтожить информацию на жестком диске
и в CMOS-памяти и вывести сообщение:
Gloomy Nutcracker(AB5) from the city of Brest(BY) with best wishes!
Содержат текст "Only the Hope dies last!".
Nutcracker.AB6 (1-4)
Очень опасные резидентные файлово-загрузочные вирусы.12 января пытаются
отформатировать первый жесткий диск,после чего выводят на экран тексты:
Nutcracker.AB6 (1) - "Dreary Nutcracker(AB6)"
Nutcracker.AB6 (2) - "Dreary Nutcracker(AB6) Lives"
Nutcracker.AB6 (3) - "Dreary Nutcracker(AB6) Lives Again"
Nutcracker.AB6 (4) - "Dreary Nutcracker(AB6) lives forever !".
Иногда изменяют символы, выводимые на печать, либо совсем блокируют
вывод на принтер. Удаляют файлы, имеющие расширения FW, ?AS и MS (в
последнем варианте вирус содержит ошибку). Содержат зашифрованный текст
"Любовь Н.".
Nutcracker.AB7 (1,2)
Неопасные резидентные файлово-загрузочные вирусы. Заражают MBR жесткого
диска, загрузочные сектора дискет и EXE-файлы, при их создании. EXE-
файлы заражаются, если их длина не более 64K. Вирусы переводят их в
формат COM-файла, внедряя в начало заголовка JUMP на свое тело и в
дальнейшем самостоятельно настраивая адреса таблицы перемещаемых
символов. При загрузке с инфицированного диска вирусы оставляет свою
копию резидентно в памяти (по возможности в области UMB) и
перехватывают INT 9,13h,15h,21h,2Fh,40h. При нажатии на Ctrl-Alt-Del
вирусы проверяют наличие своего кода в MBR и заражают его. При вызове
функции AH=13h INT 2Fh (получить адрес дискового драйвера) вирусы
самостоятельно удаляют себя из MBR. 12 числа нечетного месяца при
загрузке системы выводят сообщение "I'm Nutcracker(AB7)!", ждут
нажатия на клавишу и продолжают загрузку системы.
Nutcracker.Info.2133, 2142, 2259
Неопасные резидентные вирусы-черви. При старте инфицированной программы
вирусы выводят тексты:
Nutcracker.Info.2133:
InfoSystem version1.02
Reading System Information...
Computer type: IBM PC
Nutcracker.Info.2142:
-*- INFOSYSTEM -*-
version 1.04
(C) 1995 by Ziff Co.
Reading System Information...
