(14F5) N/A DOS 1 912 09
(152F) N/A DOS 1 736 16 2F
(155E) N/A DOS 1 560
(1582) N/A DOS 1 3296
(1651) N/A DOS 1 5280 17
(0007) N/A N/A 1 1200
5.3.1.2. Вирус RCE-1212 (ТР-04, Vacsina-04).
За исключением нескольких команд, вирус практически полностью
совпадает с вирусом VASCINA-05. Длина вируса составляет 1212 бай-
тов. Иногда портит дату создания файла.
Исторические сведения. Вирус распространялся на вирусной дискете
В.Бончева. Содержащийся на ней файл TP4VIR.COM датирован 13
декабря 1988 г.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1212
000: E969089090909090 9090909090909090 .i..............
010: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
4C0: 4D07004B00000000 0000000000000000 M..K............
4D0: 5C06FD1856059D10 2000050090909090 \...V... .......
4E0: 9090909005564143 53494E4120202020 .....VACSINA
4F0: 0000800000000000 7011C3900240C200 ........p....@..
500: D009000000000000 0020202020202020 .........
510: 2020202020202020 2020202020E80000 ...
520: 5B508CC00510008B 0E0E0103C8894FFB [P............O.
530: 8B0E160103C8894F F78B0E1001894FF9 .......O......O.
540: 8B0E1401894FF58B 3E18018B160801B1 .....O..>.......
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
920: 5B2E8C0E36002E8B 162C004A8EC2268C [...6....,.J..&.
930: 0E0100B8213553CD 21368C0602003689 ....!5S.!6....6.
940: 1E00005BB821258C D28EDABAC000CD21 ...[.!%........!
950: B800008EC026C706 C5007F3926C606C7 .....&.....9&...
960: 00048CC88ED8B41A BA5000CD212E8B47 .........P..!..G
970: FBE948FFC0040301 F47A0400 ..H......z..
+--------+
сигнатура
5.3.1.3. Вирус RCE-1339 (ТР-16, Vacsina-10)
Длина этого вируса 1339 (53Bh) при заражении COM- и 1483 -- EXE-
файлов. Как и во всех вирусах рассматриваемой подгруппы, заражение
EXE-файлов происходит в две стадии. После первой стадии файл удли-
няется на 132 байта. Никаких действий, кроме размножения, вирус не
выполняет. Заражаются COM-файлы длиной от 1339 (53Bh) до 62601
(F489h) байтов и EXE-файлы длиной до FDB3h байтов при загрузке их
в память для выполнения (21-4Bh). По структуре вирус довольно бли-
зок к RCE-1206 (VASCINA-05), однако заражает COM-файлы вне зависи-
мости от первого байта файла (вирус VACSINA-05 заражает только
файлы, первый байт которых равен E9h).
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1339
000: E94D099090909090 9090909090909090 .M..............
010: 9090909090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
540: 4D08005300000000 0000000000000000 M..S............
550: 5C06FD1856059D10 20000500AE002100 \...V... .....!.
560: 9090909090909090 9090909090900056 ...............V
570: 414353494E412020 2020000080000000 ACSINA ......
580: 00009C11FB750140 C200460A00000000 .....u.@..F.....
590: 0000002020202020 2020202020202020 ...
5A0: 20202020202020E8 00005B508CC00510 ...[P....
5B0: 008B0E0E0103C889 4FFB8B0E160103C8 ........O.......
5C0: 894FF78B0E100189 4FF98B0E1401894F .O......O......O
5D0: F58B3E18018B1608 01B104D3E28B0E06 ..>.............
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
A40: 00005BB821258CD2 8EDABACA00CD21B8 ..[.!%........!.
A50: 00008EC026C706C5 007F3926C606C700 ....&.....9&....
A60: 108CC88ED8B41ABA 5000CD212E8B47FB ........P..!..G.
A70: E92DFF40050301F4 7A10E9 .-.@....z..
+-----+
сигнатура
5.3.2. Подгруппа музыкальной перезагрузки
Штаммы, входящие в данную группу, имеют характерную фазу прояв-
ления: в зараженной ими системе попытка перезагрузки MS DOS с по-
мощью комбинации нажатий клавиш CTRL-ALT-DEL вызывает в начале
звучание мелодии "Янки дудль денди". Звучание продолжается пример-
но 20 с., а затем происходит нормальная перезагрузка системы.
5.3.2.1. Вирус RСE-1805 (ТP-25, Yankee Doodle-19 --
Янки дудль-19, Музыкальная перезагрузка)
Вирус RСE-1805 является файловым резидентным вирусом, поражающим
как файлы типа СОМ, так и файлы типа EXE. Заражение файлов проис-
ходит при запуске на выполнение соответствующих программ. Заражает
COMMAND.COM. Вирус работоспособен на любой версии MS DOS.
При запуске зараженной программы данный вирус сначала проверяет,
имеется ли уже резидентный вирус, по описанной выше схеме, единой
для данной группы. При этой проверке возвращается номер версии ре-
зидентного вируса, если он есть в оперативной памяти. Если номер
версии резидентного вируса меньше, чем номер версии вируса в зара-
женной программе или вирус в оперативной памяти отсутствует, то
старшая версия вируса из зараженной программы становится резидент-
ной и перехватывает прерывания 09 и 21.
Заражение выполняется при запуске программы на выполнение.
Получив управление по прерыванию 21-4B вирус проверяет, является
ли запускаемая программа зараженной, и если нет, то заражает дан-
ную программу на диске. При этом вирус изменяет первые 14 байтов
зараженной программы и дописывает в конце программы собственное
тело. Определение зараженности программы основано на считывании
последних 8 байтов зараженной программы. Подобно вирусу RC-1701,
RCE-1805 не проверяет, загружается ли файл с защищенной дискеты
или нет.
Зараженные файлы увеличиваются в размере на 1805-1820 байтов,
причем дата их создания и атрибуты остаются неизменными. Заражение
выполняется однократно.
Фаза проявления была описана выше. Никаких других несанкциониро-
ванных действий, кроме проигрывания мелодии при нажатии клавиш
CTRL-ALT-DEL, вирус не выполняет.
Резидентная часть вируса обнаруживается путем просмотра списка
резидентных программ (с помощью утилит MAP, SMAP, MMAP и т.д.).
При этом видна "подозрительная" дополнительная программа, не имею-
щая ни имени, ни родителя и имеющая размер 1792 байт. При этом в
графе "Hooked vectors" не указано ни одного перехваченного преры-
вания, что, конечно же, не соответствует действительности. Вирус
обращается к 21 прерыванию непосредственно, а не с помощью команды
INT, что обеспечивает обход простейших фильтров типа VIRBLK.
Исторические замечания. Данный вирус был обнаружен в Киеве в
июле 1989 г. Одним из первых этот вирус исследовали В.Е.Еременко и
Е.Ю.Портной, которые самостоятельно разработали фаг для этого ви-
руса в сентябре 1989 г. Первым попавшим в Киев фагом против данно-
го вируса была программа VDEATH. В настоящее время вирус
практически полностью уничтожен.
Программные средства защиты. Рекомендуемые полифаги приведены в
табл.1. Вирус содержит примитивные средства защиты против трасси-
ровки и обхода резидентных средств защиты. В частности, попытки
записи вируса в запускаемый файл не обнаруживаются ни VIRBLK, ни
ANTI4US2. Фильтр ANTI4US2 не срабатывает на попытку вируса стать
резидентным. При использовании Advanced Disk Manager вирус не в
состоянии попасть в разделы винчестера, для которых установлен
статус READ ONLY. Однако при этом блокируется вызов программ.
Имеется резидентная вакцина (NEATVAC).
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1805
000: E9B5079090909090 9090909090909090 ................
010: 9090909090909090 9090909090909090 ................
*** Последующие строки идентичны предыдущей ***
400: 4D08007000000000 0000000000000000 M..p............
410: 050EC32B60142602 5605E3281101FB2A ...+`.&.V..(...*
420: 2000050006052100 000000010C909090 .....!.........
430: 9090909090909090 909090FF2E10009C ................
440: FA2EFF1E1400C353 502E8B1E2200B445 .......SP..."..E
450: E8ECFF72098BD8B4 3EE8E3FFEB01F858 ...r....>......X
460: 5BC3B003CF50E460 3C53752EB402CD16 [....P.`,..r..........
490: 0672043412EAF0FF 00F0582EFF2E1C00 .r.4......X.....
4A0: 9C3D004B74613D00 C574483D01C57448 .=.Kta=..tH=..tH
4B0: 3D02C5744B3D03C5 740C9D2EFF2E1000 =..tK=..t.......
... .. .. .. .. .. .. .. .. .. .. .. ..
5F0: B900008BD18B1E22 00E843FE72E583FA ......."..C.r...
600: 0075E03D200076DB 3D1DF09073D5A305 .u.= .v.=...s...
610: 07B80042B900008B D18B1E2200E81FFE ...B......."....
620: 72C1BA2D00B90E00 B43FE812FE72B43D r..-.....?...r.=
630: 0E0075AF813E2D00 4D5A740B813E2D00 ..u..>-.MZt..>-.
... .. .. .. .. .. .. .. .. .. .. .. .. AA0:
C400DC00C400AE00 A400AE00C400DC00 ................
AB0: F600DC00AE00DC00 F6000601DC00C400 ................
AC0: 0601F60025010601 0601FFFF19191919 ....%...........
AD0: 1919191919191919 3232191919191919 ........22......
AE0: 1919191919193232 1A191A1919191919 ......22........
AF0: 1A191A1919191E1A 191A191919191E19 ................
B00: 1919193232000493 91F47A1990 ...22.....z..
5.3.2.2. Вирус RСE-1760 (ТP-24, Yankee Doodle-18 --
Янки дудль-18, Музыкальная перезагрузка)
Данный штамм практически не отличается от предыдущего.
Фрагмент дампа программы DUMY.COM,
зараженной вирусом RCE-1760
000: E9B8039090909090 9090909090909090 ................
010: 9090909090909090 9090909090909090 ................
020: 9090909090909090 9090909090909090 ................
030: 4D08006D00000000 0000000000000000 M..m............
040: 3903981460146402 56059D10E6049A11 9...`.d.V.......
050: 2000050045002100 000000012F909090 ...E.!...../...
060: 9090909090909090 909090FF2E10009C ................
070: FA2EFF1E1400C353 502E8B1E2200B445 .......SP..."..E
080: E8ECFF72098BD8B4 3EE8E3FFEB01F858 ...r....>......X
090: 5BC3B003CF50E460 3C53752EB402CD16 [....P.`,..r..........
0C0: 0672043412EAF0FF 00F0582EFF2E1C00 .r.4......X.....
0D0: 9C3D004B74613D00 C574483D01C57448 .=.Kta=..tH=..tH
0E0: 3D02C5744B3D03C5 740C9D2EFF2E1000 =..tK=..t.......
0F0: 9DFBF9CA0200B819 002EF6062B000275 ............+..u
... .. .. .. .. .. .. .. .. .. .. .. ..
630: C4E6615F5A5958C3 8B3C83FFFF74113E ..a_ZYX..<...t.>
640: 8A5E002AC92AFFE8 C2FF83C6024575E8 .^.*.*.......Eu.
650: C3BE2B06BD9F06E8 DEFFC30601060125 ..+............%
660: 0149010601490125 01C4000601060125 .I...I.%.......%
670: 0149010601060106 010601250149015D .I.........%.I.]
680: 01490125010601F6 00C400DC00F60006 .I.%............
690: 010601DC00F600DC 00AE00DC00F60006 ................
6A0: 01DC00C400DC00C4 00AE00A400AE00C4 ................
6B0: 00DC00F600DC00AE 00DC00F6000601DC ................
6C0: 00C4000601F60025 0106010601FFFF19 .......%........
6D0: 1919191919191919 1919193232191919 ...........22...
6E0: 1919191919191919 1932321A191A1919 .........22.....
6F0: 1919191A191A1919 191E1A191A191919 ................
700: 191E191919193232 30009391F47A1890 ......220....z..
+----+
сигнатура
5.3.3. Подгруппа музыкальных самоедов
В данную подгруппу входят наиболее совершенные штаммы данной
группы вирусов. По-видимому, все представители данной группы игра-
ют в 17.00 мелодию Янки Дудль Денди, поэтому их иногда называют
Five o'clock (Пять часов). Штаммы, входящие в данную подгруппу
увеличивают свои функциональные возможности, с возрастанием номера
версии. Стиль написания вируса создает впечатление перекодировки с
языка высокого уровня. Возможно, прототип был предварительно напи-
сан на Турбо Паскале, отсюда и название TP. Для структуры этой
подгруппы характерно наличие многочисленных подпрограмм и активное
