0050: 5A8000C300730160 00EA0AFFFF771710 Z....s.`.....w..
0060: 078419C50077171E 0000009090909090 .....w..........
0070: 0500200021001B01 00021000707D0100 .. .!.......p}..
0080: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
0090: 0000000000
+--------- J-сигнатура
|
0095 |FCB4E0 CD2180FCE0731680 .........!...s..
00A0: FC037211B4DDBF00 01BE100703F72E8B ..r.............
00B0: 8D1100CD218CC805 10008ED0BC000750 ....!..........P
00C0: B8C50050CBFC062E 8C0631002E8C0639 ...P......1....9
00D0: 002E8C063D002E8C 0641008CC0051000 ....=....A......
00E0: 2E010649002E0106 4500B4E0CD2180FC ...I....E....!..
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
05E0: 1B00B82425CD2107 1F5F5E5A595B589D ...$%.!.._^ZY[X.
05F0: 2EFF2E1700000000 0000000000000000 ................
0600: 4D9D100010383133 522E434F4D000122 M....813R.COM.."
0610: E9920073554D7344 6F7300018F250000 ...sUMsDos...%..
0620: 001000D800AD0F5C 06FD1856059D1007 .......\...V....
0630: 7E00000000000000 0000000000000000 ~...............
0640: 000E258000000080 000E255C000E256C ..%.......%\..%l
0650: 000E250004FABA29 0053A1000000004D ..%....).S.....M
0660: 5A8000C300730160 00EA0AFFFF771710 Z....s.`.....w..
0670: 078419C50077171E 0000009090909090 .....w..........
0680: 0500200021001B01 00021000707D0100 .. .!.......p}..
0690: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
06A0: 0000000000FCB4E0 CD2180FCE0731680 .........!...s..
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
+------------------------ тело дрозофилы
|
0710:|9090909090909090 9090909090909090 ................
0720:|4D73446F73 MsDos
+----------+
+---------------- признак зараженности COM-файла
Пример карты памяти зараженного компьютера. В приводимой ниже
карте памяти резидентная часть вируса занимает последнюю строку
(1CD0) таблицы резидентных программ. Перехватываемые прерывания
соответствуют действительности.
Addr Program Parent Sg Bytes Hooked Vectors
------ -------- -------- -- ------ -----------------
(19A6) DOS N/A 2 3536
(1A8E) E1840 DOS 2 1280
(1AE0) RELEASE DOS 2 3552 27
(1BC0) GRAPHICS DOS 2 1088 05
(1C06) QUICK DOS 2 544 09
(1C2A) KBMNA DOS 2 512 16
(1C4C) DOSEDIT DOS 2 2064
(1CD0) N/A DOS 1 1824 08 21
5.2.2. Вирус RCE-1636 (Sunday -- Воскресенье)
Данный штамм получил название Sunday -- воскресенье, поскольку в
этот день недели вирус удаляет все запускаемые файлы. Формально
вирус RСЕ-1636 является резидентным файловым вирусом, поражающим
как СОМ-файлы, так и ЕХЕ-файлы. Вирус не проверяет версию MS DOS,
на которой функционирует. Работоспособен на версиях, начиная с 2.0
как на PC XT, так и на PC AT.
При выполнении зараженной программы вирус вначале проверяет на-
личие своей копии в памяти компьютера, аналогично тому, как это
делает вирус RCE-1813. Затем вирус инсталлируется и перехватывает
прерывания 21 и 8. Механизм размножения вируса стандартен -- пере-
хват прерывания 21-4B и заражение каждой подходящей запускаемой на
выполнение программы, за исключением файла с именем COMMAND.COM.
Ограничений на длину файлов нет, поэтому вирус уничтожает COM-фай-
лы, длина которых после заражения превысит 64K. Вирус не заражает
файлы с именем COMMAND.COM.
Файлы типа СОМ поражаются данным вирусом однократно, при этом
дата их создания не меняется, а длина увеличивается на 1636 бай-
тов. В инфицированной программе тело вируса размещается в начале
файла. Со смещением 184h от начала зараженного файла расположена
текстовая строка COMMAND.COM, а со смещением 351h -- текст сообще-
ния, выдаваемого вирусом на экран:
Today is SunDay! Why do you work so hard?
All work and no play make you a dull boy!
Come on ! Let's go out and have some fun!$
(Сегодня воскресенье! Зачем работать так напряженно ?
Постоянная работа без игр делает Вас занудой !
Пошли ! Давай выйдем из дому и развлечемся !)
В конец зараженного СОМ-файла записывается пятибайтовое поле
(обычно это поле содержит C8h, F7h, E1h, EEh, E7h, однако возможны
штаммы с другим содержанием). Указанное поле используется вирусом
в качестве признака зараженности COM-файлов.
EXE-файлы заражаются однократно. Контроль зараженности по тому
же пятибайтовому полю. При заражении EXE-файлов вирус дописывает
свое тело в конец программы и исправляет заголовок EXE-файла, за-
поминая некоторые поля. Как и RCE-1813, вирус записывает, вместо
контрольной суммы, число "1984". При этом оригинальное значение
контрольной суммы теряется. В конец зараженного файла дописываются
упомянутые выше 5 байт.
Как уже указывалось, данный вирус имеет стадию проявления, на-
ступающую в воскресенье. В этот день вирус не заражает собой все
запускаемые файлы, а, как и RCE-1813, удаляет их с диска. Перехва-
тывая прерывание от таймера (INT 8), вирус отсчитывает один час от
начала режима удаления запускаемых файлов и выводит приведенное
выше сообщение. Вирус имеет несколько штаммов, в одном из которых
в этом месте допущена ошибка и данная ветвь кода никогда не выпол-
няется. Аналогично вирусу RCE-1813, возможна запись вируса в сере-
дину "расширенных" EXE-файлов.
Исторические замечания. Вирус RСE-1636 появился в конце 1988 --
начале 1989 г. в США. В СССР обнаружен к марте 1990 в Ленинграде и
Киеве, а чуть позднее в Москве. Первым отечественным полифагом для
данного вируса был, по-видимому, AIDSTEST (версии, начиная с апре-
ля 1990), обнаруживают и уничтожают этот штамм. Анализ кода позво-
ляет предположить, что автор использовал в качестве основы для его
написания вирус RCE-1813.
Неформальные названия. Полидетектор SCAN называет данный штамм
"Sunday Virus [Sunday]".
Методы и программные средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1636
000: E992000131C8F7E1 EEE70001F51E0000 ....1...........
010: 002200AA00DF0F60 02FD125605C61090 .".....`...V....
020: 7E00000000000000 0000000000004506 ~.............E.
030: 10E02B8000000080 00E02B5C00E02B6C ..+.......+\..+l
040: 00E01B80006C3E12 00D33900F006004D .....l>...9....M
050: 5AC4017500000020 003906FFFF160E5D Z..u... .9.....]
060: 068419C400160E1E 000000909090CD20 ...............
070: 050020008814A579 0002100060E30000 .. ....y....`...
080: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
090: 0000000000
+------ начало инсталлятора
|
|FCB4FF CD2180FCFF731580 .........!...s..
0A0: FC047210B4DDBF00 01BE5F0603F72E8B ..r......._.....
0B0: 4D11CD218CC80510 008ED0BC5D0650B8 M..!........].P.
0C0: C40050CBFC062E8C 0631002E8C063900 ..P......1....9.
0D0: 2E8C063D002E8C06 41008CC00510002E ...=....A.......
0E0: 010649002E010645 00B4FFCD2180FC04 ..I....E....!...
0F0: 7510072E8E164500 2E8B2643002EFF2E u.....E...&C....
100: 470033C08EC0BBFC 03268B072EA34B00 G.3......&....K.
... .. .. .. .. .. .. .. .. .. .. .. ... .. .. .. .. ..
240: 1F00907E5E5B582E FF0E1F002EFF2E13 ...~^[X.........
250: 00546F6461792069 732053756E446179 .Today is SunDay
260: 212057687920646F 20796F7520776F72 ! Why do you wor
270: 6B20736F20686172 643F0A0D416C6C20 k so hard?..All
280: 20776F726B20616E 64206E6F20706C61 work and no pla
290: 79206D616B652079 6F7520612064756C y make you a dul
2A0: 6C20626F79210A0D 436F6D65206F6E20 l boy!..Come on
2B0: 21204C6574277320 676F206F75742061 ! Let's go out a
2C0: 6E64206861766520 736F6D652066756E nd have some fun
2D0: 21249C80FCFF7505 B800049DCF80FCDD !$....u.........
2E0: 740E3D004B7503EB 35909D2EFF2E1700 t.=.Ku..5.......
2F0: 5858B800012EA30A 00582EA30C00F3A4 XX.......X......
... .. .. .. .. .. .. .. .. .. .. .. ... .. .. .. .. ..
5D0: 1FC51680002E8B0E 7200B80143CD218D ........r...C.!.
5E0: 161B00B82425CD21 071F5F5E5A595B58 ....$%.!.._^ZY[X
5F0: 9D2EFF2E1700FC03 0000000000000000 ................
600: 0000000000000000 0000000000000000 ................
610: 0000000000000000 0000000000000000 ................
620: 0000000000000000 00002C0825460008 ..........,.%F..
630: 250825C60716026C 1540003CFC04000D %.%....l.@.<....
640: C97E9300010702D4 00F51E55C8556CFE .~.........U.Ul.
650: B98B00803EEB54A2 4C80003E00435690 ....>.T.L..>.CV.
660: 9090909090909090 9090909090909090 ................
670: 9090909090909090 90909090909090CD ................
680: 20C8F7E1EEE7 ......
+--------+
+----------- признак зараженности файла
5.2.3. Воронежская подгруппа
Воронежская подгруппа включает в настоящее время три вируса: RC-
529, RC-600 и RCE-1600, по-видимому, принадлежащие одному (отече-
ственному !) автору.
5.2.3.1. Вирус RC-529
(Peterburg -- Петербург, Пакость-1)
Формально данный вирус можно отнести к резидентным файловым
вирусам, заражающим файлы с расширением COM. Не проверяет версию
операционной системы, но использует имя программы, которое зано-
сится в Environment версии MS DOS не ниже 3.0. При запуске
зараженной программы инсталлируется, перехватывая прерывание 21.
Заражает только COM-файлы при их выполнении. Определяет тип
программы по расширению имени, из-за чего EXE-программы, имеющие
расширение COM, после заражения теряют работоспособность.
Работоспособность таких программ восстанавливается после
применения соответствующего фага. Подобно остальным вирусам иеру-
салимской группы, при заражении COM-файлов записывается в начало,
переписывая старое начало в конец файла. Уровень программирования
выдает начинающего: основная часть логики некритично заимствована
из вируса RСE-1813.
Исторические сведения. Впервые обнаружен в Ленинграде весной
1989 г. Автору был передан Д.Н.Лозинским. Первым фагом для данного
вируса был, по-видимому, AIDSTEST.
Неформальные названия. Помимо приведенных выше неизвестны. Поли-
детектором SCAN не детектируется.
Методы и программные средства защиты. См. прил.1.
Фрагмент дампа программы DUMY1744,зараженной вирусом RC-529
000: B815CA8B361B01BF 00018B0E1D018B1E ....6...........
010: 1901CD21FF361F01 C30101D007110247 ...!.6.........G
020: 017900C0010400C4 014D001102EA00FB .y.......M......
030: 020100FC02010000 0080000E255C000E ............%\..
040: 256C000E25CA01A1 1D0105140190A305 %l..%...........
050: 0303061D01050001 A30D038BE0050F00 ................
... .. .. .. .. .. .. .. .. .. .. .. .. ..
1B0: 15B8004233D28BCA CD21720AFEC68B0E ...B3....!r.....
1C0: 1D01B440CD21B801 578B0E07038B1609 ...@.!..W.......
1D0: 03CD21B43ECD21B8 01438B0E0B038E5E ..!.>.!..C.....^
1E0: 028B5600CD212EC5 160103B82425CD21 ..V..!......$%.!
1F0: 8BE55A1F5B5807C3 B003CFC3C35C06FD ..Z.[X.......\..
200: 1856059D10250336 0021002000360664 .V...%.6.!. .6.d
210: 0090909090909090 9090909090909090 ................
220: 9090909090909090 9090909090909090 ................
*** следующие строки идентичны предыдущей ***
8E0: 90 .
5.2.3.2. Вирус RC-600 (Пакость-2)
Данный штамм аналогичен штамму RC-529 и заражает только COM-фай-
лы. Формально вирус RС-600 является резидентным файловым вирусом,
поражающим СОМ-файлы. Вирус не проверяет версию MS DOS, на которой
функционирует. По-видимому, работоспособен на версиях, начиная с
2.0.
При запуске зараженной программы вирус сразу пытается
инсталлироваться в оперативной памяти. Для определения, имеется ли
уже в памяти резидентный вирус, используется стандартный для дан-
ной группы вирусов механизм: вирус выдает неиспользуемое MS DOS
прерывание 21-AB, а затем проверяет содержимое регистра AX. Это
делает возможным создание резидентной вакцины и такая вакцина
