040: 0500108EC0FE0604 01BE000133FFB959 ............3..Y
050: 0190F3A4BA1101B4 1ACD21BA0501B906 ..........!.....
060: 00B44ECD21724BBA 2F01B8023DCD218B ..N.!rK./...=.!.
... .. .. .. .. .. .. .. .. .. .. .. ..
0D0: D801B409CD21CD20 50726F6772616D20 .....!. Program
0E0: 7369636B20657272 6F723A43616C6C20 sick error:Call
0F0: 646F63746F72206F 7220627579205049 doctor or buy PI
100: 58454C20666F7220 6375726520646573 XEL for cure des
110: 6372697074696F6E 0A0D24BE3702B922 cription..$.7.."
120: 0033FFF3A45B2EC7 060B0100002E8C06 .3...[..........
130: 0D012EFF2E0B011E 07BE5902BF0001B9 ..........Y.....
140: FFFF2BCEF3A42EC7 06000100012E8C1E ..+.............
150: 02018BC32EFF2E00 01B409BA0901CD21 ...............!
160: CD20333435205669 7275732033343520 . 345 Virus 345
170: 6279746573202124 bytes !$
4.3.2. C-847 (Amstrad)
Вирус практически полностью аналогичен предыдущему, за исключе-
нием того, что проверка на зараженность программы выполняется по
третьему и четвертому байтам и буфер для чтения/записи размещен в
теле вируса.
Исторические замечания. В СССР попал в сентябре 1989 г. на ви-
русной дискете В.Бончева. Первые случаи заражения отмечены в Моск-
ве в марте 1990 г. Вирус можно отнести к числу самых старых, про-
стейших вирусов. Вирус Amstrad был передан McAfee в ноябре 1989 г.
Джиан Луз (Jean Luz), однако был известен в Испании и Португалии
по меньшей мере за год до этого. Этот штамм не заражает
COMMAND.COM и содержит "самозванную" рекламу компьютеров фирмы
Amstrad.
Неформальные названия. Д.Н.Лозинский называет данный вирус IV-
847. Полидетектор SCAN называет данный вирус "Amstrad Virus
[Amst]".
Программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-847
000: EB14904956012A2E 434F4D004F040000 ...IV.*.COM.O...
010: 0100000000008CC8 0500108EC0FE0605 ................
020: 01BE000133FFB94F 01F3A4BA5F02B41A ....3..O...._...
030: CD21BA0601B90600 B44ECD217260BA7D .!.......N.!r`.}
040: 02B8023DCD21A314 018BD8061FBA4F03 ...=.!........O.
050: B9FFFFB43FCD2105 4F032EA312013E81 ....?.!.O.....>.
060: 3E52034956742133 C98BD12E8B1E1401 >R.IVt!3........
... .. .. .. .. .. .. .. .. .. .. .. ..
0C0: CD21CD2050726F67 72616D207369636B .!. Program sick
0D0: 206572726F723A43 616C6C20646F6374 error:Call doct
0E0: 6F72206F72206275 7920504958454C20 or or buy PIXEL
0F0: 666F722063757265 2064657363726970 for cure descrip
100: 74696F6E0A0D24BE 2402B92B0033FFF3 tion..$.$..+.3..
110: A433FF2EC7060E01 00002E8C0610012E .3..............
120: FF2E0E011E07BE4F 04803E0501017504 .......O..>...u.
... .. .. .. .. .. .. .. .. .. .. .. ..
300: 508D46AE509A4387 751883C4049A8085 P.F.P.C.u.......
310: 7518FF76088D865E FF508D46AE50E8A8 u..v...^.P.F.P..
320: 0583C4068946FE3D FFFF74053D010075 .....F.=..t.=..u
330: 03E8A0D0837EFE01 7403E947FE837E08 .....~..t..G..~.
340: 0075288D46AE509A 9487751883C402B4 .u(.F.P...u.....
350: 09BA0901CD21CD20 3834372056697275 .....!. 847 Viru
360: 7320383437206279 746573202124 s 847 bytes !$
4.3.3. C-740 (Canser є Рак)
C-740 не контролирует и своего наличия в модуле, в связи с чем
заражение происходит многократно.
Исторические замечания. В СССР попал в сентябре 1989 г. на ви-
русной дискете В.Бончева.
Неформальные названия. Д.Н.Лозинский называет данный вирус IV-
740.
Программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-740
000: EB14904956012A2E 434F4D00E4030000 ...IV.*.COM.....
010: 0000000000008CC8 0500108EC0FE0605 ................
020: 01BE000133FFB9E4 00F3A4BAF401B41A ....3...........
030: CD21BA0601B90600 B44ECD217257BA12 .!.......N.!rW..
040: 02B8023DCD21A314 018BD8061FBAE402 ...=.!..........
... .. .. .. .. .. .. .. .. .. .. .. ..
220: 4B2D83C40489865C FF833E1A1E00741D K-.....\..>...t.
230: 833E1C1E007516B8 2B4B509A94877518 .>...u..+KP...u.
240: 83C4020BC07406C7 061C1E0100FFB65C .....t.........\
250: FF8D46AE509A6A86 751883C404FF7606 ..F.P.j.u.....v.
260: 8D865EFF509A6A86 751883C404FF7608 ..^.P.j.u.....v.
270: 8D46AE508D865EFF 50E8F60083C40689 .F.P..^.P.......
280: 8654FF3DFEFF7503 E9F9FEFF361C1EFF .T.=..u.....6...
290: B65CFFE8794183C4 04898656FF3DFFFF .\..yA.....V.=..
2A0: 7503E9DFFE0BC074 2C837E08007526FF u......t,.~..u&.
2B0: 361A1E8D865EFF50 E8544183C4048986 6....^.P.TA.....
2C0: 58FF3DFFFF7503E9 BAFE3D01001BC0F7 X.=..u....=.....
2D0: D8898656FF8D46AE 509A0487751883C4 ...V..F.P...u...
2E0: 020BC075B409BA09 01CD21CD20373430 ...u......!. 740
2F0: 2056697275732037 3430206279746573 Virus 740 bytes
300: 202124 !$
4.4. Вирус E-1961 (Yankee Doodle-2 є Янки Дудль-2)
В настоящее время этот вирус можно считать "вымершим" и информа-
ция о нем представляет лишь исторический интерес. Вирус является
первым болгарским вирусом в котором использован стандартный метод
заражения EXE-файлов, при реализации которого, впрочем, был допу-
щен ряд ошибок и неточностей. При заражении длина файла увеличива-
ется на 1961 байт. Вирус не является резидентным. При запуске за-
раженной программы вирус ищет жертву в текущем каталоге и если по-
пытка заражения удалась, то играет мелодию Янки Дудль.
Исторические замечания. Исходный текст вируса распространялся на
вирусной дискете В.Бончева. Известен автор вируса. В СССР отмечены
лишь отдельные случаи заражения.
Методы и средства защиты. См. прил.1.
4.5. Вирус C-1024 (Bebe є Бебе)
Неформальное название данного вируса связано с выдаваемым виру-
сом на экран сообщением. Идея, лежащая в основе данного вируса,
является модификацией использованной в одном из самых старых виру-
сов є Cookie (см. ниже).
Формально С-1004 представляет собой простой файловый нерезидент-
ный вирус, заражающий файлы, имеющие расширение COM в текущем ка-
талоге. СОММАND.COM заражается как обычный СОМ-файл.
COM-файлы заражаются однократно. При заражении длина файла не
проверяется. Свое тело вирус дописывает в конец файла с выравнива-
нием начала на границу параграфа. В зараженных файлах изменены
первые 14 байтов, причем измененные байты содержат группу (PUSH
AX; Є ; JMP FAR Virus_Start;) команд, а не единственную команду
JMP, как это бывает обычно. Поэтому зараженная программа всегда
начинается с строки "50 0E 8C C8 2E 01 06 0C 01 EA". Выше было от-
мечено, что первую команду JMP, подставляемую большинством файло-
вых вирусов, дописывающих свое тело в конец COM-файла, можно рас-
сматривать как вырожденный сегмент. В данном случае первые 14 байт
представляют собой настоящий сегмент тела вируса и фактически мы
имеем дело с файловым вирусом, состоящим из двух сегментов.
Длина вируса 1004 (3ECh) байта совпадает с минимальным прираще-
нием заражаемых файлов. Файлы с атрибутом READ ONLY не заражаются.
Вирус имеет несколько необычную реализацию фазы проявления, созда-
ющую иллюзию, что мы имеем дело с резидентным вирусом: при запуске
первой зараженной программы он копирует часть своего тела в об-
ласть векторов прерываний по адресу 0000:01CE и устанавливает на
нее прерывание 1Ch (таймер). Тем самым создается резидентная про-
грамма, "висящая" на таймере, которая через некоторое время выдает
на экран заставку
+-------- VIRUS ! ------+
| Skagi "bebe" > |
+-----------------------+
и переходит в состояние ожидания ввода с клавиатуры. При
разработке вируса предполагалось, что, если с клавиатуры вводится
слово "bebe", то на экране появляется сообщение "Fig Tebe !". По-
следнее дает определенное представление об уровне культуры автора,
даже если рассматривать это как своего рода юмор. Однако реально
программа зацикливается из-за ошибки. В результате после выдачи
сообщения компьютер зависает и его приходится перегружать, причем
сделать это удается только клавишей RESET.
Уровень программирования, в целом, невысок. В частности, вирус
не восстанавливает DTA, что может привести к зависанию компьютера.
Аналогично, затирание части таблицы векторов прерываний может при-
водить к зависанию или нарушению функционирования программ. Помимо
приведенных выше строк, образующих заставку и ответ, тело вируса
содержит строку "*.COM".
Исторические замечания. Очередной вирус отечественной разработ-
ки. Обнаружен летом 1990 г.
Неформальные названия. Полидетектор SCAN данный вирус не детек-
тирует.
Программные средства защиты. Полифаг Aidstest версий, начиная с
44. Детектирование можно выполнять по сигнатуре, приведенной в
прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-1004
000: 500E8CC82E01060C 01EA580011002400 P.........X...$.
... .. .. .. .. .. .. .. .. .. .. .. ..
060: 9000000000000000
начало тела вируса -> 582EA3CC01581E06 M.......X....X..
070: 5053515256579C8C C88ED88EC08D360E PSQRVW........6.
080: 0006C43ECA01B90E 00F3A40706B42FCD ...>........../.
090: 212E891E2400062E 8F06260007B41A8D !...$.....&.....
0A0: 162800CD21B44E8D 161E00B93F00CD21 .(..!.N.....?..!
0B0: 7303E9D0008D1628 0083C21EB8023DCD s......(......=.
0C0: 21A31C007303E9AF 00B43F8D160E00B9 !...s.....?.....
0D0: 0E008B1E1C00CD21 7303E993008D360E .......!s.....6.
0E0: 008D3E0000B90A00 FCF3A67503E98000 ..>........u....
0F0: 8D1E28008B5F1A8A C381C30001B104D3 ..(.._..........
100: EB240F3C00740143 891E0C00C7060A00 .$.<.t.C........
110: 5800B8004233C933 D28B1E1C00CD21B4 X...B3.3......!.
120: 408D160000B90E00 8B1E1C00CD218D1E @............!..
130: 28008B571A33C9B8 00428B1E1C00CD21 (..W.3...B.....!
... .. .. .. .. .. .. .. .. .. .. .. ..
1B0: 018BFE8D0EEC032B CEFCF3A433DB8EDB .......+....3...
1C0: BB70008D06F002FA 8907C747020000FB .p.........G....
1D0: 9D5F5E5A595B5807 1FEA0001DD21C9CD ._^ZY[X......!..
1E0: CDCDCDCDCD205649 5255532120CDCDCD ..... VIRUS! ...
1F0: CDCDCDBBBA20536B 6167692022626562 ..... Skagi "beb
200: 6522203E20202020 20BAC8CDCDCDCDCD e" > .......
210: CDCDCDCDCDCDCDCD CDCDCDCDCDCDCDBC ................
220: BA20202020204669 6720546562652021 . Fig Tebe !
230: 2020202020BA0000 0000000000000000 ...........
240: 0000000000000000 0000000000000000 ................
*** последующие строки идентичны предыдущей ***
2B0: 0000000000000000 0000301230121C42 ..........0.0..B
2C0: 4542450D50B8C800 E6428AC4E642E461 EBE.P....B...B.a
2D0: 0C03E661E80800E4 6124FCE66158C3B9 ...a....a$..aX..
2E0: 74272E8A052E3A05 7500E2F9C3E4608A t'....:.u.....`.
... .. .. .. .. .. .. .. .. .. .. .. .. ..
3D0: 518D362602BF7406 F3A559BF1407F3A5 Q.6&..t...Y.....
3E0: 59BFB407F3A55F5E 5A595B58071F2EA3 Y....._^ZY[X....
3F0: EA0358EA00000000 302A0000 ..X.....0*..
4.6. Вирус C-257
(Kemerovo-Reset є Кемеровская перезагрузка)
Неформальное название связано с тем, что, подобно вирусу С-648,
данный вирус, наряду с заражением файлов, вызывает перезагрузку
операционной системы.
Формально С-257 є это файловый нерезидентный вирус, заражающий
файлы с расширением COM в текущем оглавлении. Заражает командный
процессор.
Заражает COM-файлы текущего оглавления длиной до 64767 (FCFFh)
байтов при запуске инфицированной программы. Файлы заражаются
однократно. Копирует себя в конец файла и изменяет его первые 4
байта ( XCHG AX,DX; JMP Loc_Virus ). Длина файлов при заражении
увеличивается на 257 байт.
Вирус имеет ряд проявлений. Во-первых, в зараженных программах
портится дата создания файла. Во-вторых, при некоторых значениях
текущего времени запуск зараженной программы ведет к перезагрузке
компьютера. Вирус не блокирует сообщения о защите от записи.
Зараженные программы теряют способность обрабатывать параметры.
