потерянных кластеров при проверке целостности файловой системы
командой CHKDSK /F
Неформальные названия. Eddie 3, Stealth Virus.
Исторические замечания. Вирус был обнаружен в Болгарии в апреле
1990. На Запад передан В.Бончевым. Приведенные сведения основаны
на описании П.Хоффман. По-видимому разработан в Софии техно-крысой
называющей себя Dark Avenger.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версии 66.
6.3.1.2. Вирус RC-800 (800, Live after Death - Жизнь после смерти)
Неформальное название связано с тем, что вирус содержит
текстовую строку "Live after Death", хотя она не видна при
просмотре дампа (вирус шифрует собственное тело при заражении).
Формально RC-800 - резидентный файловый вирус, заражающий файлы
при запуске их на выполнение, но не заражающий COMMAND.COM.
Шифрует собственное тело. При запуске зараженной программы вирус
инталлируется в старших адресах памяти, уменьшая системную память
на 16К (очевидно по принципу "гулять, так гулять"), используя
старшие 8192 байта. Перехватывает прерывание 2A. Файлы заражаются
при запуске на выполнение. Зараженные файлы заражаются повторно,
причем каждый раз длина учеличивается на 800 байтов. Минимальная
длина заражаемые файлов - 1K, однако файлы большие 800 байтов
также заражаются выборочно. Имеется штамм заражающий файлы как при
выполнении, так и при открытиии. Этот штамм уменьшает системную
память ровно на 8192 байта.
Исторические замечания. Вирус был обнаружен в Болгарии в мае
1990. На Запад передан В.Бончевым. Приведенные сведения основаны
на описании П.Хоффман. По-видимому, разработан в Софии техно-
крысой, называющей себя Dark Avenger.
Неформальные названия.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.3.1.3. Вирус RCE-1024
Данные вирус, по видимому является более ранней версией RCE-
2000. Формально данный вирус является резидентным. файловым
вирусом, заражающим как COM- так и EXE-файлы. При запуске
зараженной програмы вирус проверяет значения ряда прерываний,
включая 1 и 3. Если прерывания 1 и 3 перехвачены, то вирус не
инсталлируется в оперативной памяти, а запускает программу
вирусоноситель и после ее окончания вызывает зависание системы.
Если указанные прерывания свободны, то вирус инсталлируется,
уменьшая значения свободной памяти на 1072 байта и перехватывая
ряд прерываний Являясь резидентным вирус заражает каждую
выполняемую программу имеющую длину больше 1024 байта. Увеличение
длины маскируется при резидентном вирусе. Вирус дописывается в
конец зараженных файлов. Файлы заражаются однократно. В конце
зараженных файлов имеется строка '7106286813'. Вирус, по видимому,
не имеет стадии проявления.
Исторические замечания. Вирус был обнаружен в Болгарии в мае
1990. На Запад передан В.Бончевым. Приведенные сведения основаны
на описании П.Хоффман.По-видимому разработан в Софии техно-крысой
называющей себя Dark Avenger. По ряду признаков его можно считать
предшественником RCE-02000.
Неформальные названия.
Методы и программные средства защиты. Вирус детектируется
полидетектором SCAN, начиная с версии 66.
6.3.1.4. Вирус RCE-02100
Формально данный вирус является резидентным файловым вирусом,
заражающим как COM-, так и EXE-файлы, включая оверлеи. Заражает
COMMAND.COM. При выполнении зараженной вирусом программы вирус
инсталллируется, уменьшает системную память на 4288 байтов, а
затем заражает командный процессор. Заражает программы при
выполнении или открытии файла. Минимальная длина заражаемой
программы - 2100 байтов. Увеличение длины при резидентном вирусе
маскируется. Как обычно, при резидентном вирусе появляется
побочный эффект, связанный с появлением потерянных кластеров при
проверке целостности файловой системы командой CHKDSK /F
Исторические замечания. Вирус был обнаружен в Болгарии в июле
1990. Распространялся через троянскую версию антивирусной
программы UScan, которая была загружена в несколько европейских
BBS. При этом наличие вируса в самой программе было замаскировано
и его было невозможно обнаружить детектором, рассчитанным на
данный вирус. Приведенные сведения основаны на описании П.Хоффман.
По-видимому, разработан в Софии техно-крысой, называющей себя Dark
Avenger.
Неформальные названия. 2100, UScan Virus
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.3.2. Вирус RC-1701p (Phoenix - Феникс)
Несмотря на идентичную длину вирус не связан с группой Буквопад.
Формально данный вирус представляет собой файловый резидентных
вирус, заражающий COM-файлы и имеющий специальный механизм
инфицирования COMMAND.COM. Инсталллируется в старшие адреса
свободной памяти, резервируя 8192 байта. Перехватывает прерывание
2A. Ищет в корневом каталоге текущего диска COMMAND.COM и заражает
его не увеличивая длины (тело вируса записывается в область с
нулевыми байтами. Затем выполняет ту же операцию на диске С (на
случай, если текущий диск является электронным). Заражает COM-
файлы, увеличивая их длину на 1701 байт. Проверка файла на
зараженность выполняется некорректно, поэтому вирус может повторно
заражать один и тот же файл, каждый раз увеличивая длину на 1701
байт. Инфицируются файлы как при выполнении, так и при открытиии.
При попытке выполнить утилиту CHKDSK на зараженной системе
инициируется теплая перезагрузка системы. Использует сложный метод
шифровки тела, включая самомодификацию инсталлятора, поэтому
детекторы основанные на поиске контексных строк не в состоянии
обнаружить данный вирус. Имеет ряд штаммов.
Исторические замечания. Вирус был обнаружен в Болгарии в июле
1990. На Запад был передан В.Бончевым. Приводимые сведения
основаны на описании П.Хоффман. По-видимому, разработан в Софии.
Неформальные названия. V1701New, P1
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.4. Файловые вирусы восточного происхождения
6.4.1. Вирус RCE-2064 (Wolfman)
Формально данный вирус является резидентным файловым вирусом,
заражающим как COM-, так и EXE-файлы, включая оверлеи. Заражает
COMMAND.COM. При выполнении зараженной вирусом программы вирус
инсталллируется, резервируя в младших адресах свободной памяти два
блока памяти один размером 68032, а другой - 4544 байта. Таким
оразом общий размер свободной памяти уменьшается на 72640 байтов.
Вирус перехватывает прерывания 09, 10, 16, 21, 2F, ED и F5.
Заражает программы при выполнении файла. Минимальная длина
заражаемой программы - 2064 байта. при заражении COM-файлов тело
вируса дописывается в начало файла, а при заражении EXE-файлов в
конец. Проявления вируса неизвестны.
Исторические замечания. Вирус был обнаружен на Тайване в июле
1990. Приводимые сведения основаны на описании П.Хоффман. По-
видимому, разработан в Тайбее.
Неформальные названия. Помимо приведенных выше неизвестны.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.4.2. Вирус C-743 (Taiwan-2)
Формально данный вирус является нерезидентным файловым вирусом,
заражающим COMMAND.COM. При выполнении зараженной программы вирус
предпринимает попытку заразить три COM-файла. поиск начинается не
с текущего каталога, а с корневого каталога диска С. Заражение
выполняется путем дописывания кода вируса в начало файла. При этом
первые743 байта программы переписываются в конец. Из-за ошибки в
коде вируса при заражении программ, меньших 743 байта зараженная
програма будет всегда иметь длину 1486 байтов. Фаза проявления
наступает на восьмой день любого месяца. В этот день при запуске
любой зараженной программы вирус выполняет попытку записи первых
160 секторов на дисках С и D, начиная с сектора 0.
Исторические замечания. Вирус был обнаружен на Тайване в январе
1990. Приводимые сведения основаны на описании П.Хоффман. По-
видимому, разработан в Тайбее.
Неформальные названия. Помимо приведенных выше неизвестны.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.4.3. Вирус RCE-2900 (Taiwan-3 - Тайвань-3)
Неформальное название отражает порядковый номер поступления
вирусов с Тайваня к сотрудникам Макафи (первыми двуми были
Дисккилллер и C-743 (Taiwan-2)). По своей структуре вирус не
связан с вирусом С-743. При запуске зараженной программы вирус
инсталлируется в нижние адреса свободной оперативной памяти
резервируя 3152 байта. Перехватывает прерывание 21. Являясь
резидентным, заражает все исполняемые программы. По данным
П.Хоффман COM-файлы увеличиваются на 2900 байтов, а EXE-файлы на
2900-2908 (скорее 2900-2915). Заражаются и оверлейные файлы.
Проявления неизвестны.
Исторические замечания. Вирус был обнаружен на Тайване в июне
1990. Приводимые сведения основаны на описании П.Хоффман.
Неформальные названия. Помимо приведенных выше неизвестны.
Методы и средства защиты. Вирус детектируется полидетектором
SCAN, начиная с версии 66.
6.4.4. Вирус RCE-4096 (Plastique)
Формально данный вирус является резидентным файловым вирусом,
заражающим как COM-, так и EXE-файлы, включая оверлеи. Не заражает
COMMAND.COM. При выполнении зараженной вирусом программы вирус
инсталлируется, резервируя в младших адресах свободной памяти 5120
байтов. Вирус перехватывает прерывания 08, 09, 13, 21 и ED.
Заражает программы при выполнении и открытии файла. Длина
зараженных файлов увеличивается на 4096 байтов. Проявления вируса
неизвестны.
Исторические сведения. Вирус обнаружен в июле 1990 г. на Тайване
и, по-видимому, разработан там же. Имеется ранний неотлаженный
штамм - RCE-3012 (Plastique)
Неформальные названия. Plastique-B, Plastique 5.21, Plastic
Bomb,
Средства обнаружения и защиты. Детектируется Scan (версии 66+).
6.5. Некоторые "ископаемые" файловые вирусы
Ряд вирусов, ранее весьма распространенных на Западе, в
настоящее время практически полностью уничтожен и сведения о них
представляют, в основном, исторический интерес. Впрочем последняя
фраза не совсем корректна, поскольку необходимо помнить, что любой
компьютерный вирус практически "безсмертен" и может
"реанимироваться" из архивов через несколько лет после того как о
нем все забыли.
6.5.1. Вирус RC-0-346 (Lehigh - Лехайский)
Название вируса связано с тем, что он впервые был обнаружен в
университете Lehigh (США) в ноябре 1987 г. В настоящее время
вирус, по-видимому, относится к "ископаемым" и представляет лишь
исторический интерес как один из первых файловых вирусов, а также
как первый (и один из немногих) вирус, специализированный на
заражении определенного файла. Формально вирус RC-0-346 является
файловым резидентным вирусом, распространяющимся через файл
COMMAND.COM (командный процессор MS DOS). Иногда данный вирус
называют "системным вирусом", акцентируя внимание на том, что он
заражает только командный процессор. По мнению автора, такое
название неоправданно, так как хотя командный процессор и является
неотъемлемой частью операционной системы, его выбор, в отличие от
распространенного мнения, произволен. Конечно стандартный
командный процессор, поставляемый с MS DOS (COMMAND.COM) и
является наиболее распространенным, однако он не является
