FindFirst и FindNext, используемые при просмотре оглавления
командой DIR, вирус вычитает 2000 из значения поля длины таких
элементов оглавления, тем самым маскируя увеличение длины
зараженных файлов. Следует отметить, что оболочки типа Norton
Commander самостоятельно интерпретируют содержимое секторов с
каталогами, не используя указанных выше функций DOS. Для них этот
метод маскировки не действует.
Помимо маскироки увеличения длины зараженных файлов, вирус ис-
пользуется ряд недокументированных прерываний, что позволяет обхо-
дить слежение за прерываниями 13 и 26. Зараженные COM-файлы увели-
чиваются в размере точно на 2000 байтов, причем дата их создания и
атрибуты остаются неизменными. Заражение выполняется однократно.
При заражении вирус дописывает свое тело в конец файла, вставляя в
первые три байта команду перехода на начало вируса. Выравнивание
на границу параграфа для COM-файлов не выполняется. Инфицируются
COM-файлы длиной от 1959 байтов.
Заражение EXE-файлов характерно тем, что, несмотря на то, что
вирус выполняет выравнивание всего тела на границу параграфа, при-
ращение искусственно поддерживается постоянным и равным 2000 бай-
тов. Инфицируются EXE-файлы длиной больше 2000 байтов.
Стадия проявления, как и у вируса RCE-1800, состоит в уничтоже-
нии отдельных секторов диска (в них записывается нулевой сектор
текущего диска). Если на диске имеются файлы, иммунизированные от
вируса C-648, и имеющие длину менее 2000 байтов, то для таких
файлов вирус показывает "сумашедшее" значение длины.
Исторические замечания. Вирус обнаружен в Москве в апреле 1990
г. Автором вируса, по-видимому, является техно-крыса, скрывающаяся
под псевдонимом Dark Avenger. Первым данный вирус исследовал
Д.Н.Лозинский. Обработка RCE-02000 включена в AIDSTEST в апреле
1990 г. (начиная с версии 29 от 18.04.90).
Неформальные названия. Полидетектор SCAN называет данный вирус
"V2000". Кроме приведенных в заголовке, используют еще название
Диана П. (в теле вируса содержится строка "Диана П.").
Программные средства защиты. Данный вирус детектируется полиде-
тектором SCAN. Рекомендуемые фаги приведены в прил.1. Выявление
поврежденных вирусом файлов можно выполнить с помощью глобального
контекстного поиска по диску, обеспечиваемого, например, PCTools.
Любые действия по анализу содержимого диска следует выполнять
только при условии предварительной загрузки операционной системы с
эталонной, защищенной по записи, дискеты.
Фрагмент дампа программы DUMY2008.COM,
зараженной вирусом RCE-02000
000: E935089090909090 9090909090909090 .5..............
010: 9090909090909090 9090909090909090 ................
... .. .. .. .. .. .. .. .. .. .. .. ..
7D0: 909090909090C31A 5A6F7079206D6520 ........Zopy me
7E0: 2D20492077616E74 20746F2074726176 - I want to trav
7F0: 656C000090511381 C6B5078CC383C310 el...Q..........
800: 2E035C022E899C96 F82E8B1C2E899C94 ..\.............
810: F88CC383C3102E03 5C068ED32E8B6404 ........\.....d.
820: EA00000000BF0001 81C6BD07A4A58B26 ...............&
830: 060033DB53FF64F5 E800005E81EE6300 ..3.S.d....^..c.
840: FC2EF69489072E81 BCBD074D5A740EFA ...........MZt..
850: 8BE681C4C008FB3B 26060073C8500656 .......;&..s.P.V
860: 1E8BFE33C0508ED8 C5164C00B430CD21 ...3.P....L..0.!
870: 2E8884120886C43D 1E03720CB413CD2F .......=..r..../
880: 1E52B413CD2F5A1F 2E8994A7072E8C9C .R.../Z.........
... .. .. .. .. .. .. .. .. .. .. .. ..
F00: 268B0E06002BFFBE 8907ACF2AE750D51 &....+.......u.Q
F10: 57B91100F3A65F59 75EDEBE4C6061308 W....._Yu.......
F20: 00EBC6E8AAFDB451 CD212BFF8BC74B13 .......Q.!+...K.
F30: D88EDB8B4503803D 5A72F43B7D0175A9 ....E..=Zr.;}.u.
F40: 438EC33D00107203 B80010B103D3E08B C..=..r.........
F50: C8F3ABEB94286329 2031393839206279 .....(c) 1989 by
F60: 2056657373656C69 6E20426F6E746368 Vesselin Bontch
F70: 65762E0080FC0375 0F80FA807305EA59 ev.....u....s..Y
F80: EC00F0EA26AF00F0 EA75013E140001A3 ....&....u.>....
F90: 1490909090E90201 84A8A0ADA0208F2E ............. ..
FA0: 00558BECFF76069D .U...v..
5.5. Вирус RCE-1277 (Murphy -- Мерфи)
Вирус RCE-1277 является очередным вирусом, разработанным в Бол-
гарии, и получил свое название в связи с тем, что в теле вируса
содержатся достаточно длинные текстовые строки:
Hello, I'm Murphy.
Nice to meet you friend.
I'm written since Nov/Dec.
Copywrite (c)1989 by Lubo & Ian, Sofia, USM Laboratory.
Формально вирус RCE-1277 -- файловый резидентный вирус, поражаю-
щий как файлы типа СОМ, так и файлы типа EXE. Заражение происходит
как при запуске программ на выполнение, так и при открытии файлов
(21-3В, 21-4B, 21-6C). Вирус дописывает свое тело в конец файла.
Заражает командный процессор, если он не имеет атрибута READ
ONLY . Пораженный COMMAND.COM имеет размер 27107 байтов (если его
первоначальный размер был 25307 байтов). При этом не имеет значе-
ния, где расположен командный процессор. Это связано с тем, что
вирус при инсталляции затирает часть копии командного процессора.
В результате он вызывается с диска, в процессе чего и происходит
заражение. Файлы, имеющие атрибут READ ONLY, вирус не заражает.
Проверка номера версии в теле вируса не выполняется. Тип файла оп-
ределяется вирусом правильно, независимо от используемого расшире-
ния. Зараженные COM-файлы увеличиваются в размере на 1277 байтов,
причем дата их создания и атрибуты остаются неизменными. Заражение
выполняется однократно. При заражении вирус дописывает свое тело в
конец файла, вставляя в первые три байта команду перехода на нача-
ло вируса. Выравнивания на границу параграфа для COM-файлов не вы-
полняется. Инфицируются COM-файлы длиной свыше 1277 (6Fh) байтов.
Заражение EXE-файлов выполняется путем дописывания тела вируса в
конец файла без предварительного выравнивания тела на границу па-
раграфа.
При выполнении зараженной программы вирус проверяет наличие
своей копии в памяти и, если не находит, то становится резидентным
(используя манипуляции с MCB).
Через некоторое время после того, как вирус стал резидентным, в
динамике начинает раздаваться довольно неприятный высокочастотный
свист частотой около 12 Кгц.
В целом вирус производит впечатление не до конца отлаженного. В
частности, при попытке заражения защищенной от записи дискеты вы-
дается стандартное сообщение "Abort, Retry Є" Это связано с ошиб-
кой в обработчике прерывания 24h. По мнению Д.Н.Лозинского, заме-
тен плагиат из RCE-1800, причем без достаточного понимания функций
копируемых фрагментов.
Исторические замечания. Первое зарубежное описание данного
вируса приведено в списке П.Хоффман. По-видимому, RCE-1277 имеет
болгарское происхождение и написан сравнительно недавно (но-
ябрь/декабрь 1989 г.?). В Киеве первым вирус обнаружил А.Л.Шехов-
цов (июнь 1990). Несколько позднее он был независимо выявлен в
Москве.
Неформальные названия. Помимо приведенного в заголовке, неизве-
стны.
Программные средства защиты. Детектирование возможно по приводи-
мым в прил.1 сигнатурам. Из программ, распространяемых бесплатно,
в качестве фага можно применять -V Е.Касперского или NEAFAG В.По-
номаренко.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1277
000: E9FD079090909090 9090909090909090 ................
010: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
7F0: 090909090909090 9090909090909090 ................
+--- псевдоначало инсталлятора (первый переход)
+-----+
800:|E97E039090909090 9090909090909090 .~..............
810: 9090909090909090 9090900000000060 ...............`
820: 00F1042100000004 00050EC32B5605E3 ...!........+V..
830: 287A0F70007A0F70 002048656C6C6F2C (z.p.z.p. Hello,
840: 2049276D204D7572 7068792E204E6963 I'm Murphy. Nic
850: 6520746F206D6565 7420796F75206672 e to meet you fr
860: 69656E642E204927 6D20777269747465 iend. I'm writte
870: 6E2073696E636520 4E6F762F4465632E n since Nov/Dec.
880: 20436F7079777269 7465202863293139 Copywrite (c)19
890: 3839206279204C75 626F20262049616E 89 by Lubo & Ian
8A0: 2C20536F6669612C 2055534D204C6162 , Sofia, USM Lab
8B0: 6F7261746F72792E 20E88F023D594B75 oratory. ...=YKu
8C0: 09558BEC836606FE 5DCF80FC4B74123D .U...f..]...Kt.=
8D0: 003D740D3D006C75 0580FB007403E9A5 .=t.=.lu....t...
8E0: 00061E5756555251 5350E8C9013D006C ...WVURQSP...=.l
8F0: 75028BD6B980008B F2468A040AC0E0F9 u........F......
900: 83EE02813C4F4D74 12813C58457403EB ......U.uG...
... .. .. .. .. .. .. .. .. .. .. .. ..
CB0: 8600FBFE0E7B045E 2E81BC7EFC4D5A75 .....{.^...~.MZu
CC0: 1D1F2E8B849AFC2E 8B9C98FC0E592BC8 .............Y+.
CD0: 03CB512EFFB496FC 1E07E895FECB582E ..Q...........X.
CE0: 8B847EFC2EA30001 2E8B8480FC2EA302 ..~.............
CF0: 01B80001500E1F1E 07E876FEC3 ....P.....v..
5.6. Группа "второй половины таблицы прерываний"
Данная группа включает два вируса, которые при заражении опера-
тивной памяти размещают свое тело во второй половине таблицы пре-
рываний. Очевидно, что такое размещение накладывает жесткие огра-
ничения на размер вируса и выполняемые функции. Из-за ограничения
длины возможно заражение только одного типа файлов (обычно типа
СОМ) с записью вируса в хвост файла.
5.6.1. Вирус RC-492 (sI)
Неформальное название sI связано с тем, что со смещением 3 от
начала зараженной программы стоят байты "sI", служащие для
опознания вирусом зараженных им программ. Формально, данный вирус
является резидентным файловым вирусом, заражающим COM-файлы при
запуске их на выполнение. Код вируса содержит много ошибок и не-
точностей. Длина вируса 492 байта (1ECh). Вирус работоспособен
только на компьютерах серии AT. Это связано с наличием команд, от-
сутствующих в микропроцессоре 8088/8086. Проверка версии MS DOS в
теле вируса отсутствует. Зависимости работоспособности вируса от
версии MS DOS не обнаружено.
Стратегия заражения -- при запуске файлов на выполнение. Файлы
заражаются однократно. При заражении выполняется выравнивание на
границу параграфа. Максимальная длина заражаемого файла не прове-
ряется, поэтому вирус уничтожает файлы, длина которых после зара-
жения превысит 64К. Как уже указывалось, в качестве признака зара-
женности файла, вирус использует приведенную выше строку "sI". При
запуске зараженной программы вирус ищет в главном каталоге диска С
файл с именем COMMAND.COM и, если он будет найден, пытается его
заразить.
При заражении RС-492 дописывается в конец программы и одновре-
менно вставляет в первые три байта COM-файла команду перехода на
тело вируса. При этом размер файла увеличивается на 492 + байты
выравнивания (в качестве байтов выравнивания вирус вставляет ну-
ли). Из-за ошибки в теле вируса файлы с длиной, кратной 16, зара-
жаются с вставкой 16 нулей "для выравнивания". Дата создания файла
изменяется на дату заражения до тех пор, пока количество запусков
