мер кластера значительно больше и один свободный сектор имеется
практически всегда.
При заражении RC-0-512 записывает себя в первый сектор заражае-
мого COM-файла, предварительно переписав "оригинальный" первый
сектор в один из незаполненных секторов последнего кластера, зани-
маемого файлов, если таковой имеется. Отсюда следует, что заражен-
ные файлы, скопированные с помощью команды COPY MS DOS (а она ко-
пирует файл побайтово в соответствии с указанной в элементе
каталога длиной), будут неработоспособны, а находящийся в них ви-
рус -- работоспособным.
Подобно специфическому механизму заражения, вирус использует не-
обычный механизм инсталляции в оперативной памяти: для хранения
собственного тела вирус "откусывает" первый буфер буферного пула
MS DOS, переставляя указатель на первый буфер так, чтобы он указы-
вал на второй буфер. Таким образом, определить его наличие в памя-
ти без полного сканирования оперативной памяти можно только, если
знаешь где искать. Этот факт свидетельствует о том, что оптимиза-
ция просмотра оперативной памяти в контекстных детекторах и поли-
фагах является неверным шагом и может ухудшить качество
детектирования.
Как и в других вирусах группы DARK AVENGER, заражение происходит
как при открытии, так и при выполнении файла. Заражаются файлы,
первые две буквы расширения которых "CO". При копировании заража-
ются как копия, так и оригинал.
Вирус заражает COMMAND.COM. Поскольку при перезагрузке системы
командный процессор загружается в память до появления в ней рези-
дентного вируса, то вирус инсталлируется, а затем подгружает недо-
стающую часть командного процессора из свободного сектора послед-
него кластера.
Исторические замечания. Вирус RC-0-512, по-видимому, разработан
в Болгарии техно-крысой, называющей себя Dark Avenger. Он был об-
наружен студентом-программистом Василем Никодимовым в ноябре 1989
г. в Институте математики (София). Сведения о нем опубликованы в
статье В.Бончева в номере 1-2 за 1990 журнала "Компютър за вас". В
СССР обнаружен практически одновременно в Москве и Киеве в начале
сентября 1990 г.
Методы и программные средства защиты. Данный вирус диагностиру-
ется полидетектором SCAN и любым контекстным детектором, содержа-
щим соответствующую сигнатуру. Возможность создания резидентной
вакцины неясна. Рекомендуемые полифаги приведены в прил.1. В связи
с используемым механизмом заражения, при его создании возникает
проблема с определением, хранится ли в соответствующем секторе по-
следнего кластера оригинальная голова COM-файла (первые 512 байтов
программы) или файл был скопирован и там теперь просто мусор. В
последнем случае восстановление приведет к записи мусора на место
тела вируса. Неясно также, что произойдет при оптимизации диска,
содержащего зараженные файлы, с помощью утилиты NCC, СОМPRESS и
т.д.
5.8. Вирус RC-394 (Attention -- Внимание)
Неформальное название данного вируса связано с тем, что в начале
любой зараженной данным вирусом программы после 3-байтовой команды
перехода на тело вируса расположена 12-байтовая текстовая строка
"Attention !". После этой строки стоит байт 1Ah. Формально RC-394
является файловым резидентным вирусом заражающим COM-файлы при за-
пуске их на выполнение (прерывание 21-4B). Длина вируса (394 бай-
та) совпадает с приращением зараженных файлов. Это один из самых
маленьких резидентных вирусов, из располагающих свое тело в стар-
ших адресах оперативной памяти.
Вирус заражает COM-файлы длиной от 786 (312h) до 64921 (FD99h)
байт. При заражении тело вируса дописывается в конец файла и изме-
няет первые 16 байт, как было указано выше. Если заражаемый файл
был защищен атрибутом READ-ONLY, то перед заражением вирус снимает
этот атрибут и не восстанавливает его после заражения.
При инсталляции записывает свое тело в старшие адреса оператив-
ной памяти. Перехватывает прерывания 21 и 24. Последнее прерывание
перехватывается не совсем корректно, что может приводить к зависа-
нию системы. Характерным проявлением вируса является включение мо-
тора дисковода А, при попытке заражения файлов на защищенной дис-
кете, вставленной в дисковод B.
Исторические замечания. Вирус, по-видимому, разработан на Запа-
де. В СССР обнаружен Д.Н.Лозинским в августе 1990 г.
Методы и программные средства защиты. Рекомендуемые фаги
приведены в прил.1. Детектирование возможно по приведенным в
прил.1 сигнатурам.
Фрагмент дампа дрозофилы, зараженной вирусом RC-394
0000: E90E10415454454E 54494F4E2020211A ...ATTENTION !.
0000: 9090909090909090 9090909090909090 ................
*** последующие строки идентичны предыдущей ***
1000: 00CD209090909090 9090909090909090 .. .............
1010: 90E8F9002000C514 C01D9C50535152BB .... ......PSQR.
1020: 030031C9E2FEB00C BAF203EE31C9E2FE ..1.........1...
1030: BAF203B01CEE4B75 E95A595B589DB003 ......Ku.ZY[X...
1040: CF5053515257561E 0680FC4B740D071F .PSQRWV....Kt...
... .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. .. ..
10F0: 58050D00A3010052 31C931D2B80042CD X......R1.1...B.
1100: 2159B440CD21B43E CD21E941FFFA5A81 !Y.@.!.>.!.A..Z.
1110: EA1300BB7901A102 005031C9518ED99D ....y....P1.Q...
1120: 39061504750253CB 581E0E1F1EC7C11A 9...u.S.X.......
1130: 0029C8A30200508C C929C8498ED9A303 .)....P..).I....
1140: 00581F8EC08BF231 FFC7C18901F3A4BE .X.....1........
1150: 00018BF9B91000F3 A41F0653BB84008B ...........S....
1160: 07C707400026A315 008B47028C470226 ...@.&....G..G.&
1170: A317008C0615040E 07CBB910008BF2BF ................
1180: 0001061F1E57F3A4 FBCB .....W....
6. ФАЙЛОВЫЕ ВИРУСЫ, ИЗВЕСТНЫЕ ТОЛЬКО ПО ЛИТЕРАТУРЕ
6.1. Общие замечания
Многие из упоминаемых в зарубежной литературе файловых вирусов
пока в СССР выделены не были. В прил.3 приводятся собранные
автором сведения о таких вирусах, а последующих подразделах
сведения о наиболее важных их этих вирусов, опубликованные в
литературе. Большинство из этих вирусов диагностируется
полидетектором SCAN.
К сожалению, в условиях характерной для СССР информационной
изоляции доступа к оперативной информации по вирусам,
распространяющейся по таким сетям как BITNET, автор не имеет,
поэтому приводимые сведения неполны, а в ряде случаев и неточны.
Наиболее полной на сегодняшний день информацией, доступной автору,
является созданный Патрицией М. Хоффман (Patricia M.Hoffman) файл
VIRUS INFORMATION SUMMARY (версия от 10.08.90). Этот файл
опубликован в СП 2-8. Другими источниками является документация к
полидетекторам SCAN СП 2-7 и TNTVIRUS СП 2-8. Следует отметить,
что качество подготовки документации к программе SCAN, как,
впрочем и самой программы, вряд ли может быть оценено выше, чем
удовлетворительное: в ней приводятся ряд неверных сведений об
известных автору вирусах. Документация к TNTVIRUS более подробна,
однако сравнение со списком П.Хоффман свидетельствует о наличии
определенной связи между этими двумя документами, хотя ссылка на
П.Хоффман в документации отсутствует.
6.2. Новые стелс-вирусы
Последнее время наблюдается появление новых вирусов, при
разработке которых приняты изощренные меры по маскировке своего
присутствия на зараженной машине. Описываемые ниже вирусы основаны
на RCE-04096 и, возможно, принадлежат тому же автору.
6.2.1. Вирус RCE-03584 (Fish є Рыба)
Неформальное название данного вируса связано с тем, что иногда в
теле зараженных программ встречается строка "FISH FI". Кроме того,
проматривая оперативную память при резидентном вирусе можно
обнаружить имена некоторых рыб. Формально вирус представляет собой
резидентный файловый вирус, заражающий как COM-, так и EXE-файлы.
Вирус заражает COMMAND.COM. Подобно некоторым бутовым вирусам RCE-
03584 переживает теплую перезагрузку, перехватывая комбинацию
нажатий Ctrl-Alt-Del.
При выполнении зараженной программы, вирус проверяет свое
наличие в памяти и, если отсутствует, то инсталлируется в младших
адресах оперативной памяти. При этом, если прерывание 13 не
перехвачено другой программой, то вирус перехватывает это
прерывание и резервирует 8192 байта. Если прерывание 13 уже
перехвачено, то вирус резервирует только 4096 байт памяти и черех
некоторый, случайный интервал времени инициирует теплую
перезагрузку в процессе которой заражает COMMAND.COM и
перехватывает 13 прерывание.
Будучи резидентным, вирус заражает все открываемые COM- и EXE-
файлы. При этом длина зараженных файлов увеличивается на 3584
байта, однако это увеличение при резидентном вирусе маскируется.
При запуске программы CHKDSK на зараженной машине диагностируются
ошибки в распределении файлов. Если при этом CHKDSK запущена с
ключем /F, то попытки исправления ведут к потере кластеров и
сращиванию файлов.
Проявление вируса связано с тем, что он замедляет запись в
видеопамять и на инфицированных машинах заметно мерцание экрана
дисплея. Другие проявления вируса неизвестны, хотя вирус проверяет
равен ли текущий год 1991. Подобно вирусу RCE-04096 данный вирус
не обнаруживается ревизорами, запущенными на зараженной системе.
Вирус также обходит сторожа, следящие операциями записи на диск.
Кроме того, вирус постоянно перекодирует себя в оперативной
памяти.
Исторические замечания. Данный вирус является существенно
переработанной модификацией вирус RCE-04096 и был выделен в мае
1990 г. К моменту выделения он был достаточно распространен в
Западной Европе. Предполагается, что он был разработан в Западной
Германии. В СССР не выделен. Приводимые сведения базируются, в
основном, на списке П.Хоффман.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версии 66 (см. СП 2-7).
6.2.2. Вирус Mother Fish (Whale)
Данный вирус является наиболее сложным и изощренным из известных
стелс-вирусов. Размер кода достигает 9К. Это приблизительно 6 тыс
строк исходного текста, т.е. от нескольких месяцев до года упорной
работы. Вирус написан программистом, знакомым с непосредственным
программированием входящих в состав IBM/PC контроллеров, в
частности контролллера прерываний 8259 и контроллера 8255,
управляющего периферийными устройствами. Вирус зашифрован и имеет
самомодифицирующийся инсталлятор. Это делает детектирование
достаточно сложной задачей, хотя Scan вроде бы успешно с ней
справляется.
Исторические замечания. Данный вирус, по-видимому, является
развитием предыдущего. Обнаружен примерно в июле-августе 1990 г. в
Западной Европе, а также в Болгарии. В СССР не выделен. Приводимые
сведения базируются, в основном, на материалах Virus forum FIDO
NET.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версий, датированных августом 1990
г.
6.3. "Болгарская серия"
Как уже указывалось, Болгария пока является сновным поставщиком
файловых вирусов для СССР. Поэтому сведения о появишихся там
файловых вирусах представляют особый интерес.
6.3.1. Новые вирусы группы Dark Avenger
6.3.1.1. Вирус RCE-0651 (Eddie-3 - Эдди-3)
Вирус уменьшает системную память на 688 байтов. Уменьшение
системной памяти маскируется. Заражаются программы длиной более
651 байтов. Заражение происходит при запуске файлов на выполнение.
Увеличение длины маскируется при резидентном вирусе.
Инфицированные файлы содержат строку "Eddie Lives." в конце
инфицированного файла. Побочным эффектом вируса является появление
