Главная · Поиск книг · Поступления книг · Top 40 · Форумы · Ссылки · Читатели

Настройка текста
Перенос строк


    Прохождения игр    
Roman legionnaire vs Knight Artorias
Ghost-Skeleton in DSR
Expedition SCP-432-4
Expedition SCP-432-3 DATA EXPUNGED

Другие игры...


liveinternet.ru: показано число просмотров за 24 часа, посетителей за 24 часа и за сегодня
Rambler's Top100
Образование - Касперский Лаб. Весь текст 1152.7 Kb

Описания вирусов

Предыдущая страница Следующая страница
1 ... 71 72 73 74 75 76 77  78 79 80 81 82 83 84 ... 99
        вирус  копирует  себя  в область видеопамяти B800:7C00, "перехватывает"
        INT 1Ah (BIOS  time and date), "ждет"  вызова данного прерывания, после
        чего  "перехватывает"  INT  21h  и  "освобождает" INT 1Ah. После вызова
        любой  функции  INT 21h (кроме запуска программ - AH=4Bh) вирус создает
        файл  WINSTART.BAT  в каталоге C:\WINDOWS, если таковой существует и не
        содержит  данного файла. В файл WINSTART.BAT вирус записывает свой код,
        содержащий текстовые строки:

        @ECHO PKX>INSTALL.EXE
        @COPY/B INSTALL.EXE+%0.BAT>NUL
        @INSTALL.EXE

        После  которых  идет  основное вирусное тело, состоящее из ассемблерных
        инструкций.  При  запуске такого файла, происходящего, как правило, при
        старте  MS-Windows, вирус создает файл INSTALL.EXE из 5  текстовых байт
        и  собственного  кода  из  файла  WINSTART.BAT. Данный файл INSTALL.EXE
        запускается  вирусом.  Первые  5  текстовых   байт   файла  INSTALL.EXE
        понимаются  процессором, как ассемблерные команды: PUSH AX, DEC BX, POP
        AX, OR AX, ??0A,  после  которых  управление  попадает  в  основной код
        вируса.  Вирус проверяет установлена ли его резидентная копия в памяти,
        копирует  себя  в  область HMA и "перехватывает" INT 2Fh. При получении
        управления  через  INT 2Fh, вирус "перехватывает" INT 40h для заражения
        загрузочных  секторов  флоппи-дисков.  Q.Shimmer  (2)  пытается послать
        в  любой  доступный  из  4  последовательных  портов последовательность
        модемных  команд  "~ATM0L0S0=1O1".  Q.Shimmer (1)  содержит  текст "New
        Shimmer".

Qawo.719
        Неопасный  резидентный  вирус.  Вроде бы, содержит зашифрованную строку
        "Qawo".

Qmu.1513
        Опасный  файлово-загрузочный вирус. Заражает MBR жесткого  диска и COM-
        файлы. При  старте  инфицированного  COM-файла  вирус  устанавливает  в
        память свою резидентную копию  и выводит сообщение "Bad command or file
        name". При 100-й загрузке с инфицированного жесткого  диска  уничтожает
        16 его первых секторов. При каждом 256-м чтении с диска  (f.2  Int 13h)
        подставляет в считанный блок по адресу 0C8h слово "mj".

Qudem.555
        Неопасный  резидентный  вирус. Содержит тексты "Quick Demon 2", "Dr.WEB
        меня не находит-обманули !".

Query
        Опасный  загрузочный  вирус. В декабре уничтожает информацию на жестком
        диске.

Quox
        Опасный    загрузочный   вирус.   При   заражении  MBR  может  записать
        оригинальный MBR в сектор, содержащий данные.

Radio101.1000
        Неопасный шифрованный вирус. Примерно, через  53  минуты  после  старта
        вирус  выводит  текст  "Paдио  101".  Содержит  текстовую  строку  "Без
        паники-идем ко дну!Ver 2.01".

Radio101.2076
        Неопасный полиморфный резидентный вирус.Примерно, через  5  минут после
        старта  вирус  выводит  текст  "Радио 101-наслаждение даже при половине
        громкости!". При нажатии на Ctrl-Del или Alt-Del вирус  выводит  текст:

        ЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ
        BERZIN FANS CLUB PRESENT

        ЫЫ     ЫЫ ЫЫ   ЫЫ ЫЫЫЫЫЫ ЫЫЫЫЫЫ ЫЫЫЫЫЫЫ
        ЫЫЫ   ЫЫЫ ЫЫ   ЫЫ ЫЫ  ЫЫ     ЫЫ ЫЫ   ЫЫ
        ЫЫ Ы Ы ЫЫ ЫЫ  ЫЫЫ ЫЫ  ЫЫ  ЫЫЫЫЫ ЫЫ   ЫЫ
        ЫЫ  Ы  ЫЫ ЫЫ Ы ЫЫ ЫЫЫЫЫЫ     ЫЫ ЫЫЫЫЫЫЫ
        ЫЫ     ЫЫ ЫЫЫ  ЫЫ ЫЫ         ЫЫ ЫЫ   ЫЫ
        ЫЫ     ЫЫ ЫЫ   ЫЫ ЫЫ     ЫЫЫЫЫЫ ЫЫ   ЫЫ

                       TEL:(095)434-00-00 OR 03
        ЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬ

Raiden.1433
        Неопасный файлово-загрузочный вирус. Заражает MBR жесткого диска и EXE-
	файлы. При старте инфицированной программы с  некой  командной  строкой
        (вирус считает CRC данной строки), вирус  может  произвести самолечение
        данной программы. В вирусе существует код вывода сообщения:

        ЙННННННННННННННННННННННННННННННННННННННН»
        є MBR VIRUS V.01  NECROSOFT CORPORATION є
        є WRITEN BY RAIDEN  COPYRIGHT  (C) 1996 є
        ИНННННННННННННННННННННННННННННННННННННННј

Rain
        Опасный  загрузочный  вирус. В 19:15 уничтожает 2 сектора на головке-1,
        цилиндре-0  и  с  сектора-1,  где,  как  правило, находится загрузочный
        сектор  активного  раздела, записывая туда вирусный код. Содержит текст

        This is only a demo version made for Germany. New versions coming soon.
        Written in the rain..

Rake.975
        Неопасный  резидентный  вирус. Пытается не заражать файлы, содержащие в
        своем теле строки "ИРУС", "IRUS", "виру" или "viru".  Может  перемещать
        свою резидентную копию по различным адресам памяти.

RaseK.1489, RaseK.1490, RaseK.1492
        Очень опасные файлово-загрузочные вирусы. Заражают COM, EXE-файлы и MBR
        жесткого диска. Также внедряют деструктивный код в Boot-сектора дискет,
        не сохраняя оригинальный сектор. При загрузке с такого флоппи-диска вся
        информация на первом жестком диске будет уничтожена. Вирусы также могут
        уничтожить информацию на "винчестере" при загрузке  с  жесткого  диска.
        Вирусы перехватывают INT 13h и INT 21h. Используют  стелс-механизм  при
        попытке чтения MBR, скрывают приращение  длины  зараженных  файлов.  Не
        заражают файлы, содержащие строку AND.COM (COMMAND.COM). В теле вирусов
        присутствуют строки:

        RaseK.1489 - "RaseK v2.1,from LA CORUеA(SPAIN).Mar93";
        RaseK.1490 - "RaseK v2.0,from LA CORUеA(SPAIN).Mar93";
        RaseK.1492 - "RаseKо v3.1,from La Coruдa(SPAIN).Ap93".

Raving.2300
        Опасный   нерезидентный   вирус,   создающий   новые  COM-файлы  вместо
        найденных.  Выводит  приглашение  "C:\>",  после  чего  ждет нажатий на
        клавиши  и выводит  случайные  символы  вместо  введенных.  После этого
        выводит текст:

        I DON'T THINK YOU WOULD LIKE TO SMILE, BECAUSE I HAVE INFECTED A FILE!!!
        HAVE YOU HEARD OF A RAVING VIRUS MC, YES YOU GUESSED IT THAT IS ME!!!
        YOU WONT SEE ANOTHER RHYME UNTIL IT IS INFECTING TIME!!!

RDA.Fighter.5871, 5969, 7408, 7802, 7868
        RDA.Fighter.5871, 5969, 7802, 7868 -это  резидентные  сложнополиморфные
        вирусы, заражающие  файлы  в  формате  COM и  EXE.  RDA.Fighter.7408  -
        файлово-загрузочный полиморфный вирус (заражает COM,  EXE-файлы  и  MBR
        жесткого диска), скрывающий  приращение  свой  длины  в  инфицированных
        файлах. RDA.Fighter.7802 помимо полиморфных расшифровщиков имеет  также
        полиморфный  механизм  случайной  расшифровки  собственного  кода.  При
        неаккуратной  трассировке  RDA.Fighter.5969,  7408   могут   уничтожить
        случайные  сектора  на  жестком  диске.  Получив  управление,  основной
        расшифрованный  код  вирусов  получает  из  часов  реального    времени
        случайное 32 разрядное значение, используемое вирусами для  расшифровки
        еще одного своего участка кода. После всевозможных умножений,  делений,
        сложений,  вычитаний  из  32хразрядного  случайного  числа   получается
        базовое  16  разрядное  случайное  число  в  регистре  AX.  Это   число
        умножается на 2 в регистре DI. Этот регистр DI  будет  указывать  точку
        входа в таблицы комбинаций вирусных расшифровывающих команд. Существует
        2 таблицы  по  16  комбинаций  расшифровывающих  команд,  некоторые  из
        которых  повторяются.  Эти  таблицы  представлены  ниже.  Назовем   эти
        таблицы: "первая" и "зеркальная".

        Первая таблица     Зеркальная таблица

        XOR [BX], DX       NOT [BX]       ;в данных таблицах регистр
        ROR [BX], CL       NEG [BX]       ;BX указывает на код, для
        ............       ..........     ;которого производится
        NEG [BX]           ROR [BX], DX   ;расшифровка
        NOT [BX]           XOR [BX], DX

        Далее, на основе установленных бит 16 разрядного числа в  регистре  AX,
        выбирается расшифровывающая команда из первой таблицы, в зависимости от
        регистра DI. Например, если нулевой бит  установлен  в  1,  то  берется
        команда из таблицы (команду в таблице  выбирает  регистр  DI),  которая
        копируется  в  тело  расшифровщика  с  помощью  антиотладочных   команд
        манипуляции стеком. В  тело  расшифровщика  также  заносится  некоторая
        первоначальная  константа,  с  помощью  которой  могут    производиться
        операции расшифрования, и которая в цикле расшифровки будет динамически
        изменяться по  определенному  закону.  Данный  закон  направлен  против
        отладчиков. По окончании цикла данной расшифровки значение регистра  DI
        устанавливается на следующую команду в  первой  таблице.  Потом  данная
        операция производится для  всех  установленных  битов  в  16  разрядном
        значении AX. Если какой-либо бит не установлен, то цикл не  проводится,
        а значение DI передвигается на следующую  команду.  Если  указатель  DI
        выходит за рамки последней  16  команды  в  таблице,  то  его  значение
        устанавливается на первую команду таблицы. Как только  все  биты  в  AX
        исчерпаны, вирусы приступают к  проверке  того,  что  они  всеми  этими
        хитроумными комбинациями расшифровали. Делают они это также  хитроумным
        способом. Они подсчитывают контрольную  сумму  расшифрованного  участка
        кода в зависимости от участка кода, который не был зашифрован.  Подсчет
        CRC производится "веером", от  границы  расшифровки  и  вверх,  и  вниз
        подсчитывается 48 разрядное значение.  При  подсчете  CRC  используются
        всевозможные  команды  пересылки,  ADD,    XOR,...    Причем,    вирусы
        RDA.Fighter.5969, 7408 использует  еще  и  дополнительную  динамическую
        корректировку  CRC  с  помощью  INT  01.  А   вирус    RDA.Fighter.7408
        дополнительно имеет 4 различных варианта подсчета  CRC,  меняющихся  от
        копии к копии. Полученное значение CRC хранится в регистрах  AX,  BP  и
        DX. Регистр  BP  складывается  с  числом,  хранящимся  в  теле  вируса,
        корректируется относительно нахождения базовой точки вируса в памяти  и
        значение по смещению BP сравнивается с полученным значением DX. Причем,
        в случае правильной расшифровки смещение хранения CRC должно находиться
        в ранее зашифрованной области вируса. Если полученное значение  CRC  не
        совпадает  со  значением  DX,  то  вирусы  повторяют  описанную    выше
        комбинацию, только в качестве таблицы  расшифровывающих  команд  теперь
        будет использоваться зеркальная таблица. А делается это для того, чтобы
        возвратить в исходное состояние ранее расшифрованную по "неправильному"
        закону область вирусного кода. После того, как вирус  возвратит  все  в
        исходное  состояние,  попытка  "правильной"  расшифровки    повторяется
        сначала,  начиная  с  получения  случайного  числа  в  регистре  AX,  и
        использования в качестве  базовой  -  первой  таблицы  расшифровывающих
        команд. Вирусы будут "прокручивать" весь цикл с 16  разрядами  регистра
        AX, потом тот же вариант повторять с зеркальной таблицей и т.д., до тех
        пор, пока,  наконец,  они  не  удостоверятся,  что  все  расшифровалось
        правильно. Но,  так  как,  вирусы  постоянно  "следят"  за  отладчиком,
        следует помнить, что в разрывах между попытками  расшифровки  вирусного
        кода можно угодить в "опасный" код, уничтожающий информацию в  секторах
        жесткого  диска, описанный  выше.  RDA.Fighter.7802, 7868  "разбавляют"
        инструкции  кода  случайной  расшифровки  командами-"мусором"    (такие
        команды, которые не влияют на результат расшифровки). А также "первая",
        и соответствующая ей "зеркальная" таблица, будут отличаться для каждого
Предыдущая страница Следующая страница
1 ... 71 72 73 74 75 76 77  78 79 80 81 82 83 84 ... 99
Ваша оценка:
Комментарий:
  Подпись:
(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
  Сайт:
 
Комментарии (16)

Реклама