290: 000000EAF0FF00F0 ........
Фрагмент дампа дрозофилы, "уничтоженной" вирусом С-648
000: EAF0FF00F0909090 9090909090909090 ................
... .. .. .. .. .. .. .. .. .. .. .. .. ..
4.1.2. Штамм С-623 (Vienna-X)
Вирус С-623 отличается от C-648 наличием обработки ненормальных
окончаний, что обеспечивает подавление сообщений вида
Write protect error writing device <лог.имя.устр.>
Abort, Retry, Ignore, Fail?
при попытке записи на защищенную дискету. Кроме того, в уничтожае-
мые модули записывается переход по адресу C800:0000. Возможно, ав-
тор предполагал, что в результате будет выполнена форматизация ди-
ска. Уничтоженные модули можно искать по сигнатуре EA000000C8.
Данный штамм содержит подпрограмму обработки ошибок ввода/выво-
да. Поэтому при попытке заражения программы, расположенной на за-
щищенной дискете, не выдается соответствующего сообщения MS DOS.
Исторические сведения. Передан автору Д.Н.Лозинским. Обнаружен в
конце 1989 г.
Программные средства защиты. См. прил.1.
Фрагмент дрозофилы, зараженной вирусом C-623
000: E9A0009090909090 9090909090909090 ................
010: 8000ED251B012100 2000909090E9A000 ...%..!. .......
020: 2A2E434F4D001C00 0E04504154483D47 *.COM.....PATH=G
030: 3632332E434F4D00 0000202020202020 623.COM...
040: 2020202020202020 2020202020202020
050: 2020202020202020 2020202020202020
060: 2020202020202020 2020202020202003 .
070: 3F3F3F3F3F3F3F3F 434F4D030700EE02 ????????COM.....
080: 00000000201B0121 0010000000473632 .... ..!.....G62
090: 332E434F4D000000 0000EA000000C856 3.COM..........V
0A0: 050E2551BA1001FC 8BF283C60ABF0001 ..%Q............
0B0: B90300F3A48BF2B4 30CD213C007503E9 ........0.!<.u..
0C0: A80106B42FCD2189 1C8C4402B82435CD ..../.!...D..$5.
0D0: 21899C8F008C8491 0007B824258BD681 !..........$%...
... .. .. .. .. .. .. .. .. .. .. .. ..
230: 8B54068B4C0480E1 E080C91FB80157CD .T..L.........W.
240: 21B43ECD21B80143 8B4C08BA1F0003D6 !.>.!..C.L......
250: CD211EB41A8B148E 5C02CD21B824258B .!......\..!.$%.
260: 948F008E9C9100CD 211F5933C033DB33 ........!.Y3.3.3
270: D233F6BF00015733 FFC2FFFFB000CF .3....W3.......
4.1.3. Штамм C-627 (Vienna-Y)
В штамме 627 исключен блок уничтожения программы.
Исторические сведения. Передан автору Д.Н.Лозинским. Обнаружен в
конце 1989 г.
Программные средства защиты. См. прил.1.
4.2. Польская группа
Польская группа включает несколько штаммов, стратегия заражения
которых основана на поиске файлов с расширением COM в текущем ка-
талоге и использовании для отметки зараженных файлов не значение
62 с. в поле секунд, а 13 месяца. Она включает два почти идентич-
ных вируса С-507 и С-534, из которых в нашу страну попал только
второй. Анализ кода создает впечатление о том, что основные идеи
заимствованы у венского вируса, онако это впечатление может быть и
ложным. В связи с используемым методом отметки зараженных файлов
группа практически полностью уничтожена.
4.2.1. Вирус С-534 (Toothless є Беззубый, W13)
В коде вируса C-534 прослеживаются явные аналогии с кодом вируса
С-648, однако чувствуется более низкая квалификация автора. Воз-
можно, автор пользовался комментированным листингом вируса С-648
(по-видимому, австрийского происхождения). Против этого предполо-
жения говорит тот факт, что стратегия заражения существенно упро-
щена, а признак зараженности файла изменен на более заметный, хотя
при создании штаммов чаще наблюдаются попытки "улучшить" эти уча-
стки кода. Формально вирус С-534 є файловый нерезидентный вирус,
поражающий файлы типа СОМ. Функционирует на версиях MS DOS, начи-
ная с 2.0. Длина 534 (216h) байта. Заражаются только .COM-файлы
длиной от 256(100h) до FA00h байт в текущем и корневом каталогах.
Заражение происходит при запуске инфицированной программы, при
этом заражается не более одного файла. При выполнении зараженной
программы управление передается на начало вируса. Вирус восстанав-
ливает первые 3 байта основной программы, ищет незараженный файл с
раcширением СОМ и заражает его. Это ведет к потере рабоспособности
EXE файлов, записанных с расширением COM. Работоспособность таких
файлов может быть восстановлена путем применения соответствующего
фага.
Стратегия заражения є поиск файла-жертвы в текущем и корневом
каталогах. Поражает СOMMAND.COM. При заражении он дописывается в
конец программы и одновременно вставляет в первые три байта COM-
файла команду перехода на тело вируса. При этом размер файла уве-
личивается на 534 байта, дата создания файла и атрибуты файла из-
меняются (вирус снимает атрибут READ ONLY и из-за ошибки в тексте
не восстанавливает его; кроме того, в дате подставляется 13 (0Dh)
месяц). Заражение выполняется однократно. Минимальный размер зара-
жаемых файлов є 256 байтов (100h), максимальный є чуть меньше 64К
(FA00h). При попытке заражения у файла проверяется значение месяца
последней его модификации и, если оно равно 0Dh (13-й месяц), то
файл не заражается. Очевидно, что данный метод предотвращения по-
вторного заражения является вариантом метода, использованного в
"базовом" вирусе С-648 с той разницей, что вместо секунд использу-
ется месяц.
Как и С-648, вирус C-534 не проверяет, находится заражаемый файл
на защищенной дискете или нет, и в этом случае выдается обычное
сообщение операционной системы:
Write protect error writing device <лог.имя.устр.>
Abort, Retry, Ignore, Fail?
При заражении EXE-файлов с расширением COM наблюдаются те же
проблемы, что и для вируса С-648.
Исторические замечания. Обнаружен в Польше в ноябре 1988 г. В
Киеве появился приблизительно в октябре 1989 г. Первым фагом для
данного вируса, распространяемым бесплатно, вероятно был полифаг
Д.Н.Лозинского.
Методы и программные средства защиты. Методы защиты аналогичны
методам защиты от вируса С-648. Рекомендуется использовать про-
граммы, указанные в прил.1.
Фрагмент дампа программы DUMY0400.COM,
зараженной вирусом C-534
100 E98D019090909090 9090909090909090 ................
110 9090909090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
280 9090909090909090 90909090909090C3 ................
290 50BEF5038BD681C6 0000FCB90300BF00 P...............
2A0 01F3A48BFAB430CD 213C007503E93F01 ......0.!<.u..?.
2B0 BA2C0003D78BDAB4 1ACD21BD00008BD7 .,........!.....
2C0 81C20700B90300B4 4ECD21E90400B44F ........N.!....O
... .. .. .. .. .. .. .. .. .. .. .. .. ..
3E0 00438B8D2200CD21 BA8000B41ACD2158 .C.."..!......!X
3F0 BF000157C3EBFE90 E98D015C3F3F3F3F ...W.......\????
400 3F3F3F3F2E434F4D 00545259302E434F ????.COM.TRY0.CO
410 4D004D0000000020 00E4812400000000 M.M.... ...$....
420 00073F3F3F3F3F3F 3F3F434F4D030900 ..????????COM...
430 000046510F0920E4 8124009001000054 ..FQ....$.....T
440 5259302E434F4D00 4D0000006F736F66 RY0.COM.M...osof
450 7479726967687420 4D6963726F736F66 tyright Microsof
460 7479726967687420 4D6963726F736F66 tyright Microsof
470 7479726967687420 4D6963726F736F66 tyright Microsof
480 7479726967687420 4D6963726F736F66 tyright Microsof
490 7479726967687420 4D6963726F736F66 tyright Microsof
4.2.2. Вирус С-507
(13 месяц-Б, Toothless-B є Беззубый-Б, W13-B)
Данный штамм представляет собой более отлаженный вариант пред-
ыдущего вируса. Ищет заражаемые файлы только в текущем каталоге.
Другие подробности неизвестны. Вирус детектируется полидетектором
SCAN и входит в версии списка П.Хоффман, начиная с датированной 10
августа 1990 г.
4.3. Группа IV (Amstrad)
Данная группа в настоящее время состоит из трех представителей с
длинами 847, 740 и 345 байт. На расстоянии 2-3 байта от начала в
этих вирусах стоят буквы "IV". Из этой группы SCAN опознает только
IV-847, называя его "Amstrad Virus [Amst]". П. Хоффман описывает
ряд других, неизвестных в нашей стране штаммов. В их числе штаммы
с длиной 277 и 299 байтов, которые аналогичны вирусу С-345, однако
текст сообщения исключен и вместо кода, обеспечивающего выдачу со-
общения, вставлен код, создающий ошибку четности (Parity error)
приблизительно в 50% случаев запуска программы. Вирусы этой группы
являются одними из наиболее простых файловых вирусов. Они заражают
только COM-файлы в текущем каталоге, причем при заражении не пре-
дусмотрено ни сохранение даты, ни контроль длины. Заражение произ-
водится приписываением тела вируса к началу файла. Таким образом,
в зараженной программе вирус располагается в начале, что встреча-
ется довольно редко.
Существенной разницы в функционировании штаммов нет: в данном
случае большая длина вируса не означает усложнения механизма его
работы. Все три штамма заражают только файлы с расширение "COM" в
текущем каталоге, причем правильность расширения не проверяется.
Как и в случае с вирусом С-648, это приводит к повреждению EXE-
файлов с расширением COM: после заражения файлы становятся нерабо-
тоспособными и их запуск обычно ведет к зависанию системы. Данное
повреждение может быть устранено "выкусыванием" вируса из програм-
мы.
4.3.1. C-345 (Pixel є Пиксель)
Получив управление, данный вирус переписывает собственное тело в
область памяти, отстоящую от области загрузки данной программы на
64К. Это действие может привести к нарушению работы системы в слу-
чае наложения копии на резидентные программы. Затем вирус выполня-
ет поиск в текущем подкаталоге файла типа с расширением COM. Если
такой файл обнаружен, то он считывается в память, располагаясь не-
посредственно за копией вируса (таким образом вся область памяти
практически представляет собой образ зараженной вирусом програм-
мы). Если второй и третий байты считанной программы принимают зна-
чения 49h и 56h ("IV"), то вирус считает, что данная программа уже
заражена. В противном случае в файл, из которого была считана про-
грамма, "сбрасывается" область оперативной памяти, начиная с тела
вируса. За одно выполнение зараженной программы вирус предпринима-
ет попытку заражения всех файлов в текущем каталоге. Очевидно, что
процесс заражения прекращается, если все файлы в текущем каталоге
уже заражены.
При каждом вызове зараженной программы вирус увеличивает значе-
ние специального счетчика, а затем выполняет проверку его содержи-
мого. Если значение счетчика равно 5, то вирус считывает значение
таймера, и, если оно нечетно, то на экран выводится сообщение
Program sick error:
Call doctor or buy PIXEL for cure description;
и выполнение программы блокируется. Это сообщение содержится в те-
ле вируса в незашифрованном виде. Поэтому иногда этот вирус назы-
вают PIXEL. После завершения своей работы вирус сдвигает тело про-
граммы, вместе с которой он первоначально был загружен в память,
на количество байт, равное длине вируса, и передает управление на
начало программы.
Исторические замечания. Исходный текст данного вируса был опуб-
ликован в Греции журналом Пиксель (Pixel). В СССР попал на вирус-
ной дискете В.Бончева. Первым фагом для данного вируса был, по-ви-
димому, полифаг Д.Н.Лозинского.
Неформальные названия. Распространенным неформальным названием
этого вируса является Pixel. Д.Н.Лозинский называет данный вирус
IV-345.
Программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-345
000: EB3B4956012A2E43 4F4D000000000000 .;IV.*.COM......
010: 0000000000000000 0000000000000000 ................
020: 0000000000000000 0000000000000000 ................
030: 0000000000000000 0000000000508CC8 .............P..
