Для PC/AT, а также систем c контроллерами типа RLL или SCSI
алгоритм запуска низкоуровневого форматирования неработоспособен.
Исторические замечания. Данный вирус обнаружен в мае 1989 г. в
Европе. Это связано с тем, что фаза распространения и фаза
проявления этого вируса отделены периодом в десять месяцев. По
некоторым данным, вирус разработан в Голландии. Судя по выдаваемой
надписи, время разработки относится в началу 1989 г. а начало
распространения - к марту 1989 г. Случаи заражения отмечались в
США уже летом того же года. В настоящее время практически
полностью уничтожен. В СССР явно не отмечался, однако, учитывая
его европейское происхождение, рекомендуется проверять
программного обеспечения на зараженность вирусами данной группы в
сентябре текущего года.
Методы и программные средства защиты. Диагностируется
полидетектором SCAN.
6.5.5.2. Вирус E-1280 (Datacrime B - Дейтакрайм B, 1280, Columbus
Day - День Колумба)
Штамм, заражающий только файлы типа EXE и способный
форматировать винчестер с контроллерами типа RLL или MFM.
6.5.5.3. Вирус СE-1514
(Datacrime II - Дейтакрайм, 1514, Columbus Day - День Колумба)
Штамм, заражающий как COM-, так и EXE-файлы. Тело вируса
зашифровано. В отличие от предыдущего не пытается форматировать
винчестер.
6.5.5.4. Вирус СE-1917 (Datacrime IIB - Дейтакрайм IIB , 1917,
Columbus Day - День Колумба)
Штамм, обнаруженный в ноябре 1989 года. Пытается форматировать
диск в любой день после 12 октября, кроме понедельника. Метод
шифровки тела изменен.
6.6. Мифические файловые вирусы
"Мы рождены, чтоб сказку сделать былью..."
Из популярной песни 30-х годов
6.6.1. Вирус Cookie, Cookie Monster - Печенье
Данная легенда основана на демонстрационном вирусе,
действительно существовавшем на компьютерах с микропроцессором
8080 или Apple II. Или, возможно, вирус полностью уничтожен и
относится к "ископаемым" вирусам. Название данного вируса связано
с персонажем популярной в США детской телевизионной программы
SESAME STREET. Проявление этого вируса связано с выдачей на экран
сообщения
I WANT COOKIE
(я хочу печенья)
Только ввод с клавиатуры слова COOKIE позволяет продолжить
работу с программой. Вводом тайного пароля "OREO" можно "усыпить"
вирус на несколько недель. В некоторых вариантах легенды вирус
стирает файлы при неправильном ответе или слишком длительной
задержке с ответом.
Исторические замечания. В файле П.Хоффман не описан.
Методы и программные средства защиты. Как ни странно, но для
данного вируса имеется фаг (может быть, это шутка) - вирус
диагностируется и выкусывается полифагом Antivir (версия 3.0
1988), разработанным D.Hoppenrath.
6.6.2. Вирус, заражающий обьектные библиотеки
Автором легенды является А.А.Чижов. В статье [Чижов88] он
неосторожно высказал собственную идею о вирусе, внедряющемся в
библиотеку обьектных модулей компилятора. Соответствующий текст
представляет исторический интерес:
"3. Вирус в обьектной библиотеке. Вирус, прикрепленный к
обьектной библиотеке какого-либо компилятора, - наиболее
изощренный вид вируса. Такой вирус автоматически внедряется в
любую программу, составленную программистом, работающим с
зараженной библиотекой.
Внедряется вирус в библиотеку следующим способом. В обьектную
библиотеку добавляется модуль, содержащий в себе вирус,
оформленный в виде подпрограммы. Затем в модуль, который должен
получать управление от Дос в сформированной программе, всавляется
вызов подпрограммы, содержащей вирус. При этом корректируется
таблица глобальных имен, используемых в бибилиотеке. При
компоновке какой-либо программы модуль с вирусом автоматически
подключается к программе и всегда будет запускаться при ее
запуске..."
6.6.3. Вирус "падающие головки винчестера"
Данная легенда стала неотъемлемой частью программистского
фольклора. Попытку придать этой легенде статус научного факта
предпринял Ю.Н.Основский. В брошюре [Основский90] написано
буквально следующее:
"Вирусы, вызывающие аварию аппаратного обеспечения ЭВМ,
представляются наиболее опасными из всех классов вирусов. Если
после срабатывания вируса из классов, описанных выше, самым
серьезным последствием является гибель всей информации на
носителях, то срабатывание вируса, вызывающего аварию аппаратного
обеспечения ЭВМ, кроме логического разрушения информации, вызывает
еще и физическую поломку машины.
К счастью, автор не сталкивался еще с такими вирусами "лицом к
лицу" (т.е. на своем персональном компьютере), однако наблюдал
результаты срабатывания одного из таких вирусов на машине своих
коллег. Этот вирус заставил операционную систему обращаться к
жесткому диску с резонансной частотой блока его головок. Как
результат - падение блока головок на вращающийся диск,
заклинивание диска с повреждением всех его поверхностей и,
естественно, разрушением информации. Для восстановления
работоспособности машины пришлось покупать новый жесткий диск."
Далее автор приводит еще более интересные сведения:
"Однако можно с достаточной степенью уверенности утверждать, что
распространение этого типа вирусов не грозит пользователям
персональных ЭВМ с жесткими дисками производства стран є членов
СЭВ только в том случае, если жесткие диски собраны в этих
странах. При использовании готовых "фирменных" жестких дисков
проникший на машину вирус может сработать, так как для определения
резонансной частоты диска необходимо точно знать его физические
параметры. Поэтому опасность срабатывания подобного вируса грозит
только тем пользователям, машины которых оснащены "фирменными"
жесткими дисками. Автору удалось установить (естественно, не путем
эксперимента), что эти вирусы существуют в настоящее время только
для двух типов "фирменных" жестких дисков: SeaGate и Amstrad."
К сожалению, как будет ясно из дальнейшего изло- жения,
благодаря богатой фантазии Ю.Н.Основскому удалось установить
(естественно, не путем эксперимента) не только это.
6.6.4. Вирус в сетевом драйвере
Источником данной легенды является все та же статья [Чижов88].
Приведем соответствующую цитату.
"Возможно создание вируса, внедряемого в сетевой драйвер. Такой
вирус переносит себя по сети на другой компьютер. Возможность
перенесения по сети, конечно, зависит от вида сети - один вирус
обычно может заражать только сеть одного вида с однотипными
драйверами обслуживания сети.
Самый простой способ переноса такого вируса - передача по сети
нового варианта сетевого драйвера. Для этого необходимо, чтобы
зараженный драйвер вызвал от незараженного абонента сетевой
драйвер (или его часть), добавил в него вирус и передал обратно.
При последующем запуске сетевого драйвера будет запущен уже новый
зараженный драйвер.
Процесс заражения сопровождается довольно большими передачами по
сети, поэтому вирус может быть обнаружен за счет не только
изменения размера сетевого драйвера или его контрольной суммы, но
и обнаружения лишних передач по сети."
6.6.5. Сетевой вирус RCE-2231
Эта легенда принадлежит, по видимому, Ю.Н.Основскому, который
пишет:
"...Автору известен только один случай заражения сетевым
вирусом, когда появление вируса на одной из концевых машин сети
вызвало немедленное заражение головной машины сети, а за ней - и
всех остальных концевых машин.
Этот вирус длиной 2231 байт распространялся через прерывание DOS
21H (выполнение функций DOS, номера функций 5EH, 5FH). Вирус
заражал .СОМ и .EXE-файлы, увеличивая их длину. Несмотря на то,
что в течение нескольких дней никаких внешних проявлений вируса не
замечалось, было решено полностью очистить все машины от вируса.
Лишь на одной машине, исключенной из сети, вирус был обезврежен в
операционной ситеме, но с исследовательскими целями оставлен в
ряде программ пользователей. В результате исследования выяснилось
следующее:
- вирус и в отстутсвии сети способен заражать операционную
систему, причем не только ее командный процессор, который
поражается сразу, но и скрытые системные файлы, которые поражаются
в самом конце инкубационного периода;
- инкубационный период вируса составляет около месяца, после
чего на машине происходит "ядерный взрыв" (это название предложено
автором на основании анализа пораженного вирусом жесткого диска
после срабатывания). Дело в том, что характер поражения напоминает
след ядерного взрыва: чем ближе к FAT-таблице, которая является
как бы "эпицентром" жесткого диска, тем больше разрушенных
векторов в логических кластерах);"
Ну и так далее. Если рассматривать данное описание как
спецификацию, то она, к сожалению, представляется вполне
реализуемой, если, конечно, отбросить "проколы" типа поражения
скрытых системных файлов в конце инкубационного периода. Более
того, напрашивается сравнение с вирусом C-1260v (прил.3), который
фактически основан на аналогичной спецификации. Здесь, пожалуй,
четче всего видна опасность фантазирования на "вирусную тематику".
Не случайно, по некоторым данным, разведслужбы специально
анализируют издаваемые детективы на предмет возможного
использования приводимых сюжетных ходов в реальных операциях, а
после просмотра "жестокого" фильма отмечается возрастание числа
опасных преступлений, близких по схеме к событиям на экране.
6.6.6. Вирусы, поражающие скрытые системные файлы.
Данная легенда, по видимому, принадлежит А.А.Чижову. В уже
упоминавшейся статье [Чижов88] он пишет:
"Вряд ли вирус может внедриться в загрузчик, так как загрузчик
должен размещаться в одном секторе диска емкостью 512 байт. В
загрузчике практически нет свободного места.
Другое дело - скрытые файлы ДОС. Вирус может прикрепиться к
любому из этих файлов, при этом его дальнейшее поведение может
быть различным. Само прикрепление происходит просто - вирус может
дописать себя в конец одного из файлов. при запуске каждого из
скрытых файлов управление передается на начало файла, в котором
стоит команда перехода на инициатор соответствующей части ДОС,
вместо которой вирус может поставить переход на свое начало, а
после настройки запустить инициатор ДОС. Наиболее действенным
может быть прикрепление ко второму скрытому файлу -
IBMDOS.COM(MSDOS.SYS), так как, во-первых, в конце первого файла
находится конфигуратор системы, обрабатывающий файл CONFIG.SYS,
что мешает прикреплению вируса, во-вторых, в момент запуска
первого скрытого файла ДОС еще не функционирует. В момент же
запуска второго скрытого файла ДОС уже частично функционирует,
полностью сформированы драйверы ввода-вывода."
То, что А.А.Чижов описал как одну из возможностей, пытаясь одним
из первых самостоятельно проанализировать возможные пути
инфицирования MS DOS (и ошибаясь в данном случае), Ю.Н.Основский
преподносит нам как факт, имеющий место на начало 1990 г.:
"Поражение скрытых системных файлов приводит к заражению всей
операционной системы ЭВМ, а если ЭВМ включена в состав локальной
вычислительной сети, то возможен переход вируса на любую другую
машину сети, в том числе и на головную.
Правда, обычно заражение скрытых системных файлов довольно легко
распознается, так как одна из первых же перезагрузок пораженной
