имеется (NEATVAC). Файлы заражаются при загрузке в память для вы-
полнения (прерывание 21-4Bh).
Заражаются файлы типа СОМ, даже если они имеют расширение ЕХЕ.
Дата и время создания зараженного файла не изменяются, а длина
увеличивается на 600 байтов. Минимальная длина заражаемых файлов
составляет 600 байтов (258h), а максимальная 60 000 байтов
(EA60h). Не заражаются файлы, содержащие в первых двух байтах зна-
чение, превышающее EF60h, а также файлы с атрибутом READ ONLY. Ви-
рус не заражает COMMAND.COM. Файлы заражаются однократно, при этом
дата их создания не меняется, а длина увеличивается на 600 байтов.
В инфицированной программе тело вируса размещается в начале файла.
Перехватывает прерывание 21h.
Вирус шифрует часть своего тела (50 байтов, начиная с 16 байта
от начала). Первые 600 байт заражаемой программы (участок, перено-
симый в конец файла) с также шифруются с помощью операции XOR 0BBh
и переносятся в конец файла. На их место помещается тело вируса
(тоже частично закодированное -- 50 байтов, начиная с 17-го -- XOR
0DDh).
Фаза проявления у данного вируса отсутствует. При попытке запу-
ска программы из оболочек типа NC на зараженной машине, если
COMMAND.COM находится на защищенном от записи диске, происходит
"выпадение" в DOS. При попытке заражения файлов, расположенных на
защищенной от записи дискете, иногда (не всегда) появляется стан-
дартное сообщение "Abort, Retry...". Это связано с ошибкой в под-
программе обработки прерывания 24h.
Исторические замечания. По-видимому, вирус имеет отечественное
происхождение, поскольку в теле вируса имеется зашифрованная стро-
ка "Oleynikoz S., 1990". Вирус RСE-600 появился в СССР в начале
1990 г. Обнаружен А.Сессой в Днепропетровске в середине апреля
1990г. Значительного распространения вирус не получил. Из полифа-
гов, распространяемых бесплатно, первым был, по видимому, -V
Е.Касперского (СП 2-7).
Неформальные названия. Помимо приведенного выше иногда
используется название 600 и Oleynikoz.
Программные средства защиты. Для борьбы с вирусом годятся имею-
щиеся контекстные детекторы и резидентные программы. В качестве
фага рекомендуется использовать -V Е.Касперского или Aidstest.
Фрагмент дампа дрозофилы, зараженной вирусом RC-600
(обратите внимание, что байты 90h перекодированы в BBh)
000: BE1001B932008A24 80F4DD882446E2F6 ....2..$....$F..
010: 697610FCE08888A8 DE3453DD5115F0DC iv.......4S.Q...
020: DD530566DEDDE356 DAF05DDDE354DAD3 .S.f...V..]..T..
030: C266DFDD56DAF05D DD54DA531D62DDDD .f..V..].T.S.b..
040: 63DD00B90008F3A4 8BD0EB2E90FB80FC c...............
050: AB7504B85555CF50 FEC43D004C587515 .u..UU.P..=.LXu.
060: 9C50535152565706 1EE99E001F075F5E .PSQRVW......._^
070: 5A595B589DEA1C02 BC128EDAB82135CD ZY[X.........!5.
080: 213E891E76013E8C 0678013E891E4202 !>..v.>..x.>..B.
090: 3E8C0644021E8CC0 8ED88BD31F8D164D >..D...........M
0A0: 01B82125CD210E1F 1E07BED401B90001 ..!%.!..........
0B0: BBEC018B3F83FF00 7502CD2057BBEE01 ....?...u.. W...
0C0: 8B0701C781C70001 FC57F3A45F588B0E .........W.._X..
0D0: EE0157C30500018B F0BF0001FC8A0434 ..W............4
0E0: BB88054647E2F6B8 000150C360025802 ...FG.....P.`.X.
0F0: 5605E00F55767F63 7473717560004934 V...Uv.ctsqu`.I4
100: 362B23232A000000 00CF8BDA1E52060E 6+##*........R..
... .. .. .. .. .. .. .. .. .. .. .. .. ..
240: 0300E927FEB8003E CD218B1EF0018E06 ...'...>.!......
250: F201B82425CD21C3 3820818089928E82 ...$%.!.8 ......
260: 0290BB05AEBA9531 AF0FB9769AFD594D .......1...v..YM
270: 01BBBB769BB1B626 2935299B2F3B3230 ...v...&)5)./;20
280: 9B2A353F3E2B3D33 299B39332B282A9B .*5?>+=3).93+(*.
290: ED8D8B8B9B9B9B93 E9F89B8D8B8B929A ................
2A0: BBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBB ................
*** последующие строки идентичны предыдущей ***
4A0: 3F3033363B9B2C33 2A293538359B2F3B ?036;.,3*)585./;
4B0: 32303B9B969B8D8B 20;.....
5.2.3.3. Вирус RC-1600
(Voronezh 2.01 -- Воронеж 2.01, Пакость-3)
Последний и наиболее сложный из рассматриваемой подгруппы. Не-
формальное название связано с наличием в теле вируса соответствую-
щей текстовой строки. Формально представляет собой резидентный
файловый вирус, заражающий COM- и EXE-файлы. С сожалением прихо-
дится констатировать, что в данном вирусе реализована идея, не-
осторожно высказанная Д.Н.Лозинским в документации к полифагу
AIDSTEST (AIDSREAD.ME): с целью затруднить обнаружение обычными
фагами, вирус не меняет точку входа в EXE-файле, изменяя
Relocation table.
При заражении EXE-файлов тело вируса дописывается в конец зара-
жаемой программы. Файлы заражаются не только при запуске программ
на исполнение, но и при открытии файлов.
Уровень программирования создает противоречивое впечатление.
Имеется ряд признаков, позволяющих говорить о близости "почерка",
которым написаны данный вирус и вирус RC-600.
Исторические замечания. Обнаружен в Воронеже в июне 1990 г.
А.Н.Мартемьяновым. Автору передан Д.Н.Лозинским. Из полифагов,
распространяющихся бесплатно, первым его включил Е.Сусликов в по-
лифаг К32. Значительного распространения вирус не получил.
Неформальные названия. Помимо приведенных выше иногда
используется название 1600.
Программные средства защиты. Для борьбы с вирусом годятся имею-
щиеся контекстные детекторы и резидентные программы. В качестве
фага можно рекомендовать упомянутый выше полифаг К32.
Фрагмент дампа вируса
000: 8CD80E1F50E80000 5B81EB080153B4AB ....P...[....S..
010: CD213D55557503E9 D0008CC02D01008E .!=UUu......-...
020: D8BB03003E8B072D EA003E8907061FBB ....>..-..>.....
030: 02003E8B072DEA00 3E89078EC0BF0001 ..>..-..>.......
040: BE00015B5301DE0E 1FB9A406F3A48BD0 ...[S...........
050: EB74909CFB80FCAB 7505B855559DCF3D .t......u..UU..=
060: 003D754050535152 565706B9410030C0 .=u@PSQRVW..A.0.
070: 8BFA1E07F2AE83EF 048BF7560E07B904 ...........V....
080: 00BF8902F3A683F9 0075045EEB0D90BF .........u.^....
090: 8C02B904005EF3A6 83F900075F5E5A59 .....^......_^ZY
... .. .. .. .. .. .. .. .. .. .. .. .. ..
0A0: 5B58740950FEC43D 004C587513505351 [Xt.P..=.LXu.PSQ
0B0: 525657061EE91F01 1F075F5E5A595B58 RVW......._^ZY[X
0C0: 9DEA60142B028EDA B82135CD213E891E ..`.+....!5.!>..
0D0: C2013E8C06C4013E 891E75033E8C0677 ..>....>..u.>..w
0E0: 038D165301B82125 CD215ABBB00201D3 ...S..!%.!Z.....
0F0: 2E803F0074411F8C D80E1F8BCA5F0750 ..?.tA......._.P
170: FC8A0434BB880546 47E2F6B800015B50 ...4...FG.....[P
180: C3F7854006CC7DE5 1145584565786555 ...@..}..EXEexeU
190: 767F637473717560 566F726F6E657A68 v.ctsqu`Voronezh
1A0: 2C3139393020322E 3031B430CD213C00 ,1990 2.01.0.!<.
1B0: 0100081A00110300 000000002A390000 ............*9..
... .. .. .. .. .. .. .. .. .. .. .. .. ..
5B0: 595B53BA4007CD21 B80042BA0000B900 Y[S.@..!..B.....
5C0: 00CD21BB1001BE83 028B0CBA0001B440 ..!............@
5D0: 5B53CD215B5A5953 B80157CD218B16D4 [S.![ZYS..W.!...
5E0: 028E1ED202B80143 2E8B0ED002CD210E .......C......!.
5F0: 1F5BE80300E9C0FA B8003ECD218B1E85 .[........>.!...
600: 028E068702B82425 CD21C3558BEC1EB8 ......$%.!.U....
610: 01438B16D4028E1E D20231C9CD217306 .C........1..!s.
620: 1F5D58E945FF368B 5E04B8003ECD21B8 .]X.E.6.^...>.!.
630: 023DFA9C2EFF1EC2 011F368946045DC3 .=........6.F.].
5.2.4. Другие представители иерусалимской группы.
Как уже указывалось, вирусы иерусалимской группы относятся к од-
ним из самых распространенных. Среди них следует отметить первоап-
рельскую подгруппу, а также вирус FU MANCHU. В настоящее время эти
вирусы в СССР еще не выделены. Некоторые сведения о них приводятся
в прил. 3.
5.3. Группа TP-вирусов
Данная группа резидентных вирусов имеет болгарское происхожде-
ние. По данным В.Бончева, они написаны техно-крысой из софийского
вуза ВМЕИ им. В.И.Ленина (теперь Технический университет). В нее
входит 12 отличающихся друг от друга, но несомненно принадлежащих
одному автору штаммов. Вирусы разработаны в конце 1988 -- начале
1989 г. Впервые эти штаммы были описаны В.Бончевым ( окончившим,
кстати, ВМЕИ им. В.И.Ленина в 1984 г.), который, по его собствен-
ному признанию, знаком с написавшей их техно-крысой. Об этом, так-
же, свидетельствуют и некоторые факты. Во-первых, в статье [ ]
В.Бончев утверждает, что заражение EXE-файла несколько сложнее,
чем COM- файла, но возможно, хотя на самом деле сложность зараже-
ния COM- и EXE- файлов примерно равны. И, действительно, первые
штаммы вирусов данной группы заражают EXE-файл специальным, более
сложным способом, основанным на предварительной переделке EXE-фай-
ла в COM- файл. Во-вторых, бросается в глаза подробность, с кото-
рой в [14] описаны технические решения, использованные в ряде
штаммов этой группы, причем само описание ведется с характерной
скорее для разработчика, чем для исследователя, точки зрения. В
первой статье, где упомянуты вирусы данной группы [КВ.3-4'89], уже
указана такая "тонкая" подробность, как "вытеснение" старшими
штаммами группы штаммов с меньшими номерами в зараженных файлах,
хотя в самой статье упоминаются только вирусы подгруппы VACSINE,
для которых "вытеснение" имеет место лишь в оперативной памяти. В
третьих, в статье [13] указывается, что автором создан и фаг для
этой группы вирусов, а единственным известным болгарским полифагом
для данной группы является программа TP48CLS В.Бончева т.е. неиск-
лючено, что алгоритм "выкусывания" был предоставлен В.Бончеву са-
мим автором этих вирусов.
По оценке большинства исследователей, вирусы написаны специалис-
том высокой квалификации. Ни один из вирусов этой группы не ориен-
тирован на нанесение вреда данным или программам на зараженном им
компьютере. Для большинства представителей этой группы отличитель-
ным признаком является строка F47Ah в начале тела вируса за кото-
рой следует номер штамма. При этом, кроме версии TP-45 (Yankee
Doodle-2D), указанная строка повторяется в конце тела вируса, т.е.
в конце зараженного им файла, что позволяет быстро определить вер-
сию заразившего тот или иной файл вируса путем просмотра дампа па-
мяти. Как видно из приводимых ниже дампов, байт F4h расположен со
смещением 4 от конца, а байт 7Ah -- со смещением 3. Следующий за
этой парой байтов (F4h, 7Ah) байт и определяет номер штамма. Штам-
мы, входящие в данную группу можно разделить на три подгруппы.
1) Подгруппа VACSINA (TP-4, TP-5 и TP-16). Это первые представи-
тели данной группы, разработанные примерно в конце 1988 г. Все они
содержат строку "VACSINA", выполняют преобразование EXE-файлов в
COM-файлы в два этапа и не заражают файлов размером больше 64К.
2) Подгруппа музыкальной перезагрузки (ТР-24 и TР-25). Штаммы,
входящие в данную подгруппу, играют мелодию Yankee Doodle Dendy
при перезагрузке. Ограничение на размер заражаемых EXE-файлов со-
храняется.
3) Подгруппа музыкальных самоедов (TP-33, TP-34, TP-38, TP-39,
TP-41, TP-44 и TP-45). Штаммы, входящие в данную подгруппу
разработаны примернов марте-апреле 1989 г. Они играют указанную
выше мелодию в 17 часов, а начиная с TP-38 обладают средствами об-
хода резидентных фильтров и защиты от трассировки на зараженной
машине. Размер заражаемых EXE-файлов не ограничен, а заражение
ведется общепринятым способом.
В первом приближении "динамика" изменений свойств данной группы
вирусов может быть представлена следующим образом (изложение бази-
руется на материалах, предоставленных Д.Н.Лозинским): до версии
TP-05 при заражении портится дата создания файла; до TP-09 включи-
тельно при заражении COM-файла требуется, чтобы первой командой
