вирус копирует себя в область видеопамяти B800:7C00, "перехватывает"
INT 1Ah (BIOS time and date), "ждет" вызова данного прерывания, после
чего "перехватывает" INT 21h и "освобождает" INT 1Ah. После вызова
любой функции INT 21h (кроме запуска программ - AH=4Bh) вирус создает
файл WINSTART.BAT в каталоге C:\WINDOWS, если таковой существует и не
содержит данного файла. В файл WINSTART.BAT вирус записывает свой код,
содержащий текстовые строки:
@ECHO PKX>INSTALL.EXE
@COPY/B INSTALL.EXE+%0.BAT>NUL
@INSTALL.EXE
После которых идет основное вирусное тело, состоящее из ассемблерных
инструкций. При запуске такого файла, происходящего, как правило, при
старте MS-Windows, вирус создает файл INSTALL.EXE из 5 текстовых байт
и собственного кода из файла WINSTART.BAT. Данный файл INSTALL.EXE
запускается вирусом. Первые 5 текстовых байт файла INSTALL.EXE
понимаются процессором, как ассемблерные команды: PUSH AX, DEC BX, POP
AX, OR AX, ??0A, после которых управление попадает в основной код
вируса. Вирус проверяет установлена ли его резидентная копия в памяти,
копирует себя в область HMA и "перехватывает" INT 2Fh. При получении
управления через INT 2Fh, вирус "перехватывает" INT 40h для заражения
загрузочных секторов флоппи-дисков. Q.Shimmer (2) пытается послать
в любой доступный из 4 последовательных портов последовательность
модемных команд "~ATM0L0S0=1O1". Q.Shimmer (1) содержит текст "New
Shimmer".
Qawo.719
Неопасный резидентный вирус. Вроде бы, содержит зашифрованную строку
"Qawo".
Qmu.1513
Опасный файлово-загрузочный вирус. Заражает MBR жесткого диска и COM-
файлы. При старте инфицированного COM-файла вирус устанавливает в
память свою резидентную копию и выводит сообщение "Bad command or file
name". При 100-й загрузке с инфицированного жесткого диска уничтожает
16 его первых секторов. При каждом 256-м чтении с диска (f.2 Int 13h)
подставляет в считанный блок по адресу 0C8h слово "mj".
Qudem.555
Неопасный резидентный вирус. Содержит тексты "Quick Demon 2", "Dr.WEB
меня не находит-обманули !".
Query
Опасный загрузочный вирус. В декабре уничтожает информацию на жестком
диске.
Quox
Опасный загрузочный вирус. При заражении MBR может записать
оригинальный MBR в сектор, содержащий данные.
Radio101.1000
Неопасный шифрованный вирус. Примерно, через 53 минуты после старта
вирус выводит текст "Paдио 101". Содержит текстовую строку "Без
паники-идем ко дну!Ver 2.01".
Radio101.2076
Неопасный полиморфный резидентный вирус.Примерно, через 5 минут после
старта вирус выводит текст "Радио 101-наслаждение даже при половине
громкости!". При нажатии на Ctrl-Del или Alt-Del вирус выводит текст:
ЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯЯ
BERZIN FANS CLUB PRESENT
ЫЫ ЫЫ ЫЫ ЫЫ ЫЫЫЫЫЫ ЫЫЫЫЫЫ ЫЫЫЫЫЫЫ
ЫЫЫ ЫЫЫ ЫЫ ЫЫ ЫЫ ЫЫ ЫЫ ЫЫ ЫЫ
ЫЫ Ы Ы ЫЫ ЫЫ ЫЫЫ ЫЫ ЫЫ ЫЫЫЫЫ ЫЫ ЫЫ
ЫЫ Ы ЫЫ ЫЫ Ы ЫЫ ЫЫЫЫЫЫ ЫЫ ЫЫЫЫЫЫЫ
ЫЫ ЫЫ ЫЫЫ ЫЫ ЫЫ ЫЫ ЫЫ ЫЫ
ЫЫ ЫЫ ЫЫ ЫЫ ЫЫ ЫЫЫЫЫЫ ЫЫ ЫЫ
TEL:(095)434-00-00 OR 03
ЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬЬ
Raiden.1433
Неопасный файлово-загрузочный вирус. Заражает MBR жесткого диска и EXE-
файлы. При старте инфицированной программы с некой командной строкой
(вирус считает CRC данной строки), вирус может произвести самолечение
данной программы. В вирусе существует код вывода сообщения:
ЙННННННННННННННННННННННННННННННННННННННН»
є MBR VIRUS V.01 NECROSOFT CORPORATION є
є WRITEN BY RAIDEN COPYRIGHT (C) 1996 є
ИНННННННННННННННННННННННННННННННННННННННј
Rain
Опасный загрузочный вирус. В 19:15 уничтожает 2 сектора на головке-1,
цилиндре-0 и с сектора-1, где, как правило, находится загрузочный
сектор активного раздела, записывая туда вирусный код. Содержит текст
This is only a demo version made for Germany. New versions coming soon.
Written in the rain..
Rake.975
Неопасный резидентный вирус. Пытается не заражать файлы, содержащие в
своем теле строки "ИРУС", "IRUS", "виру" или "viru". Может перемещать
свою резидентную копию по различным адресам памяти.
RaseK.1489, RaseK.1490, RaseK.1492
Очень опасные файлово-загрузочные вирусы. Заражают COM, EXE-файлы и MBR
жесткого диска. Также внедряют деструктивный код в Boot-сектора дискет,
не сохраняя оригинальный сектор. При загрузке с такого флоппи-диска вся
информация на первом жестком диске будет уничтожена. Вирусы также могут
уничтожить информацию на "винчестере" при загрузке с жесткого диска.
Вирусы перехватывают INT 13h и INT 21h. Используют стелс-механизм при
попытке чтения MBR, скрывают приращение длины зараженных файлов. Не
заражают файлы, содержащие строку AND.COM (COMMAND.COM). В теле вирусов
присутствуют строки:
RaseK.1489 - "RaseK v2.1,from LA CORUеA(SPAIN).Mar93";
RaseK.1490 - "RaseK v2.0,from LA CORUеA(SPAIN).Mar93";
RaseK.1492 - "RаseKо v3.1,from La Coruдa(SPAIN).Ap93".
Raving.2300
Опасный нерезидентный вирус, создающий новые COM-файлы вместо
найденных. Выводит приглашение "C:\>", после чего ждет нажатий на
клавиши и выводит случайные символы вместо введенных. После этого
выводит текст:
I DON'T THINK YOU WOULD LIKE TO SMILE, BECAUSE I HAVE INFECTED A FILE!!!
HAVE YOU HEARD OF A RAVING VIRUS MC, YES YOU GUESSED IT THAT IS ME!!!
YOU WONT SEE ANOTHER RHYME UNTIL IT IS INFECTING TIME!!!
RDA.Fighter.5871, 5969, 7408, 7802, 7868
RDA.Fighter.5871, 5969, 7802, 7868 -это резидентные сложнополиморфные
вирусы, заражающие файлы в формате COM и EXE. RDA.Fighter.7408 -
файлово-загрузочный полиморфный вирус (заражает COM, EXE-файлы и MBR
жесткого диска), скрывающий приращение свой длины в инфицированных
файлах. RDA.Fighter.7802 помимо полиморфных расшифровщиков имеет также
полиморфный механизм случайной расшифровки собственного кода. При
неаккуратной трассировке RDA.Fighter.5969, 7408 могут уничтожить
случайные сектора на жестком диске. Получив управление, основной
расшифрованный код вирусов получает из часов реального времени
случайное 32 разрядное значение, используемое вирусами для расшифровки
еще одного своего участка кода. После всевозможных умножений, делений,
сложений, вычитаний из 32хразрядного случайного числа получается
базовое 16 разрядное случайное число в регистре AX. Это число
умножается на 2 в регистре DI. Этот регистр DI будет указывать точку
входа в таблицы комбинаций вирусных расшифровывающих команд. Существует
2 таблицы по 16 комбинаций расшифровывающих команд, некоторые из
которых повторяются. Эти таблицы представлены ниже. Назовем эти
таблицы: "первая" и "зеркальная".
Первая таблица Зеркальная таблица
XOR [BX], DX NOT [BX] ;в данных таблицах регистр
ROR [BX], CL NEG [BX] ;BX указывает на код, для
............ .......... ;которого производится
NEG [BX] ROR [BX], DX ;расшифровка
NOT [BX] XOR [BX], DX
Далее, на основе установленных бит 16 разрядного числа в регистре AX,
выбирается расшифровывающая команда из первой таблицы, в зависимости от
регистра DI. Например, если нулевой бит установлен в 1, то берется
команда из таблицы (команду в таблице выбирает регистр DI), которая
копируется в тело расшифровщика с помощью антиотладочных команд
манипуляции стеком. В тело расшифровщика также заносится некоторая
первоначальная константа, с помощью которой могут производиться
операции расшифрования, и которая в цикле расшифровки будет динамически
изменяться по определенному закону. Данный закон направлен против
отладчиков. По окончании цикла данной расшифровки значение регистра DI
устанавливается на следующую команду в первой таблице. Потом данная
операция производится для всех установленных битов в 16 разрядном
значении AX. Если какой-либо бит не установлен, то цикл не проводится,
а значение DI передвигается на следующую команду. Если указатель DI
выходит за рамки последней 16 команды в таблице, то его значение
устанавливается на первую команду таблицы. Как только все биты в AX
исчерпаны, вирусы приступают к проверке того, что они всеми этими
хитроумными комбинациями расшифровали. Делают они это также хитроумным
способом. Они подсчитывают контрольную сумму расшифрованного участка
кода в зависимости от участка кода, который не был зашифрован. Подсчет
CRC производится "веером", от границы расшифровки и вверх, и вниз
подсчитывается 48 разрядное значение. При подсчете CRC используются
всевозможные команды пересылки, ADD, XOR,... Причем, вирусы
RDA.Fighter.5969, 7408 использует еще и дополнительную динамическую
корректировку CRC с помощью INT 01. А вирус RDA.Fighter.7408
дополнительно имеет 4 различных варианта подсчета CRC, меняющихся от
копии к копии. Полученное значение CRC хранится в регистрах AX, BP и
DX. Регистр BP складывается с числом, хранящимся в теле вируса,
корректируется относительно нахождения базовой точки вируса в памяти и
значение по смещению BP сравнивается с полученным значением DX. Причем,
в случае правильной расшифровки смещение хранения CRC должно находиться
в ранее зашифрованной области вируса. Если полученное значение CRC не
совпадает со значением DX, то вирусы повторяют описанную выше
комбинацию, только в качестве таблицы расшифровывающих команд теперь
будет использоваться зеркальная таблица. А делается это для того, чтобы
возвратить в исходное состояние ранее расшифрованную по "неправильному"
закону область вирусного кода. После того, как вирус возвратит все в
исходное состояние, попытка "правильной" расшифровки повторяется
сначала, начиная с получения случайного числа в регистре AX, и
использования в качестве базовой - первой таблицы расшифровывающих
команд. Вирусы будут "прокручивать" весь цикл с 16 разрядами регистра
AX, потом тот же вариант повторять с зеркальной таблицей и т.д., до тех
пор, пока, наконец, они не удостоверятся, что все расшифровалось
правильно. Но, так как, вирусы постоянно "следят" за отладчиком,
следует помнить, что в разрывах между попытками расшифровки вирусного
кода можно угодить в "опасный" код, уничтожающий информацию в секторах
жесткого диска, описанный выше. RDA.Fighter.7802, 7868 "разбавляют"
инструкции кода случайной расшифровки командами-"мусором" (такие
команды, которые не влияют на результат расшифровки). А также "первая",
и соответствующая ей "зеркальная" таблица, будут отличаться для каждого