Компьютерная вирусология ч. 1
01F0 2C15EF12C7112C15 C417C711EF12E60F ,.....,.........
0200 C711C711FFFF0505 0505050505050505 ................
0210 0505090905050505 0505050505050505 ................
0220 0909050505050505 0505050505050505 ................
0230 0605050505050505 0605050505090950 ...............P
0240 53B800008EC026C4 1C895D028C450426 S.....&...]..E.&
0250 803FCF740A268B07 890526C707CD1C5B .?.t.&....&....[
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
+---- начало инсталлятора вируса
V
07A2 E800005B81EB 65065053BB2100F8 C....[..e.PS.!..
07B0 B803C5CD215B7223 83FCF0721E2E8B97 ....![r#...r....
07C0 0300428CD903D18E C28BF38BFEB9780A ..B...........x.
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
0B90 4390CFD2EF3B32E9 5F393E674E4B471B C....;2._9>gNKG.
0BA0 D22B7A58EC6C90D9 E60A21B50D5FB446 .+zX.l....!.._.F
0BB0 40009391F47A2190 @....z!.
+----+
сигнатура
5.3.3.3. Вирус RCE-2568
(ТР-34, Yankee Doodle-22 -- Янки дудль-22)
Фрагмент дампа дрозофилы, зараженной вирусом RCE-2568
0100 E98F069090909090 9090909090909090 ................
0110 9090909090909090 9090909090909090 ................
0120 9090909090909090 9090909090909090 ................
0130 9090909090909090 90909090909090C3 ................
0140 6002FD1660147402 5605233C53FF00F0 `...`.t.V.#
BE0 5A2B8B33E11C3E88 C4806AC3DEFF6F33 Z+.3..>...j...o3
BF0 44223341E9BC133D CA1B92C402A0D2FD D"3A...=........
C00 |F47A2600 .z&.
+-----+
сигнатура
5.3.3.5. Вирус RCE-2901
(ТР-45, Yankee Doodle-2D -- Янки дудль-2D)
Данный вирус отличается от TP-44 лишь незначительными деталями.
Исторические замечания. Вирус распространялся на вирусной
дискете В.Бончева в файле COMMAND.VIR. По-видимому вирус
разработан весной 1989 г.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-2901
000: E906089090909090 9090909090909090 ................
010: 9090030090909090 9090909090909090 ................
020: 9090909090909090 9090909090909090 ................
030: F47A2D0000003000 C60A909090909090 .z-...0.........
040: 9090909090909090 9090909090909090 ................
050: 9090909090909090 9090390398146014 ..........9...`.
060: 640256059D1053FF 00F0050045002100 d.V...S.....E.!.
070: DE006A009A87014A 9F5C0770009C2E8F ..j....J.\.p....
080: 06775C0770000000 2001000100013F01 .w\.p... .....?.
090: 0000100000010002 CF02C711C711E60F ................
0A0: 280EC711280EE60F C417C711C711E60F (...(...........
0B0: 280EC711C711C711 C711E60F280E590D (...........(.Y.
0C0: 280EE60FC711EF12 C4172C15EF12C711 (.........,.....
0D0: C7112C15EF122C15 C51A2C15EF12C711 ..,...,...,.....
0E0: 2C15C4172C15C417 C51A671CC51AC417 ,...,.....g.....
0F0: 2C15EF122C15C51A 2C15EF12C7112C15 ,...,...,.....,.
100: C417C711EF12E60F C711C711FFFF0505 ................
110: 0505050505050505 0505090905050505 ................
120: 0505050505050505 0909050505050505 ................
130: 0505050505050505 0605050505050505 ................
140: 06050505050909FE 067A7DFE06FB7D74 .........z}...}t
150: 05EA007C0000FC33 C08EC0BE2A7DBF4C ...|...3....*}.L
160: 00A5A52683061304 02EA007C00008B04 ...&.......|....
170: 2DBC0072093D0800 9072038904C3B809 -..r.=...r......
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
7A0: 06525153508B0E3C 008B163E00B80157 .RQSP..<...>...W
7B0: E8D9FBB43EE8D4FB 8A0E580080F12080 ....>.....X... .
7C0: E13FF6C1217411B8 01431E32ED8A0E58 .?..!t...C.2...X
7D0: 00C55604E8BAFB1F B824251EC5163200 ..V......$%...2.
7E0: E8AEFB1F8A165D00 B80133E8A3FB585B ......]...3...X[
7F0: 595A075DF9C359BA 00022E80BF5A0000 YZ.]..Y......Z..
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
B40: F2DB996A6A37B0CE B3FBC50E2CD85FC4 ...jj7......,._.
B50: 4C99CE00A228B8B9 339F6B8B59C09A66 L....(..3.k.Y..f
B60: DBDB30252E0A0049 34C355356A362F79 ..0%...I4.U5j6/y
B70: 2B8E340D1D0D0629 F94636B8AD18F6AA +.4....).F6.....
B80: 00F47A2D00 ..z-.
+----+
B-сигнатура
5.3.3.6. Вирус RCE-2932
(ТР-41, Yankee Doodle-29 -- Янки дудль-29)
Разрушение или модификация данных в вирусе не предусмотрена.
Длина вируса составляет 2932 (B74h) байт. Заражаются COM-файлы
длиной от 20h до F247h байт и EXE-файлы любой длины. Код вируса
практически полностью совпадает с кодом RCE-2885. Отличия от по-
следнего сводятся к тому, что в 17.00 мелодия играется всегда.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-2932
000: E92F089090909090 9090909090909090 ./..............
010: 9090030090909090 9090909090909090 ................
020: 9090909090909090 9090909090909090 ................
030: F47A290000003000 EE0A909090909090 .z)...0.........
040: 9090909090909090 9090909090909090 ................
050: 9090909090909090 9090390398146014 ..........9...`.
060: 640256059D1053FF 00F0200005004500 d.V...S... ...E.
070: 210000001701DC00 72D0DF04555C0770 !.......r...U\.p
080: 0089BFCE1B975C07 7000010001000101 ......\.p.......
090: 0000100000010002 B302C711C711E60F ................
0A0: 280EC711280EE60F C417C711C711E60F (...(...........
0B0: 280EC711C711C711 C711E60F280E590D (...........(.Y.
0C0: 280EE60FC711EF12 C4172C15EF12C711 (.........,.....
0D0: C7112C15EF122C15 C51A2C15EF12C711 ..,...,...,.....
0E0: 2C15C4172C15C417 C51A671CC51AC417 ,...,.....g.....
0F0: 2C15EF122C15C51A 2C15EF12C7112C15 ,...,...,.....,.
100: C417C711EF12E60F C711C711FFFF0505 ................
110: 0505050505050505 0505090905050505 ................
120: 0505050505050505 0909050505050505 ................
130: 0505050505050505 0605050505050505 ................
140: 06050505050909FE 067A7DFE06FB7D74 .........z}...}t
150: 05EA007C0000FC33 C08EC0BE2A7DBF4C ...|...3....*}.L
160: 00A5A52683061304 02EA007C0000561E ...&.......|..V.
... .. .. .. .. .. .. .. .. .. .. .. ..
1E0: EC9C061E53500E1F E8E4FF8CC8394608 ....SP.......9F.
1F0: 74358E5E0883BF02 0029752081BF0000 t5.^.....)u ....
200: F47A751881BF0800 EE0A75108CD8D1EB .zu.......u.....
210: D1EBD1EBD1EB03C3 8ED8EB0B836E0205 .............n..
220: 585B1F079D5DCBE8 F8008B460AFE065B X[...].....F...[
230: 00A900017507FF4E 06FE0E5B0025FFFE ....u..N...[.%..
... .. .. .. .. .. .. .. .. .. .. .. ..
B60: 419EBF488A06A7BA 0A8993557831908F A..H.......Ux1..
B70: B0BAA467FDFB369D F825859828EEBB8E ...g..6..%..(...
B80: A4276E3D35E3DC9E 472D3C7C5AE5D407 .'n=5...G-<|Z...
B90: 805C01401F4CBCFC 3DC3E86DA14C4554 .\.@.L..=..m.LET
BA0: F47A2900 .z).
+-----+
сигнатура
5.4. Группа Avenger
Группа Avenger является одной из наиболее опасных групп вирусов.
В настоящее время включает два вируса: RCE-1800 (Dark Avenger) и
RCE-02000 (Bontchev). Предположительно оба вируса болгарской раз-
работки. Код вирусов этой группы свидетельствует о глубоком знании
разработчиком MS DOS. В них используется ряд нетривиальных методов
маскировки и обхода простейших резидентных сторожей.
5.4.1. Вирус RCE-1800
(Dark Avenger -- Черный мститель; Eddie -- Эдди)
Вирус RCE-1800 получил свое название в связи с тем, что в теле
вируса содержатся две достаточно длинные текстовые строки:
