Методы и программные средства защиты. Рекомендуется использовать
полифаг AV.
7.1.3. Штамм Bx1-1C-с
(Hacked Ping-Pong - Искромсанный пинг-понг)
Данный штамм является версией оригинального вируса, в котором
непосредственно в загрузочном модуле сделаны изменения,
направленные на стирание первых секторов диска при нажатии клавиши
Scroll Lock. Из-за ошибок при коррректировании загрузочного модуля
"по живому" данный штамм только размножается. Впрочем возможно
имеется и "доработанная" версия.
Исторические замечания. Выделен и изучен И.Сысоевым. Приводимые
сведения опираются непосредственно на его сообщение на семинаре.
Неформальные названия. Помимо приведенного выше, отсутствуют.
Методы и программные средства защиты. Рекомендуется использовать
полифаг AV.
7.1.4. Штамм Bx1-1C-d
(Double Ping-pong - двойной пинг-понг)
Данный штамм отличается от предыдущего наличием двух движущихся
светлых пятен.
7.2. Пакистанская группа
Представители пакистанской группы вирусов отличаются тем, что
они не заражают винчестер, заражая только дискеты. Первым
представителем этой группы является вирус Dx3-E9.
7.2.1. Вирус Dx3-E9 (Singapore Brain -
Сингапурский вариант Душманских мозгов)
Вирус Dx3-E9 во многом аналогичен вирусу Bx1-1C, однако в отли-
чие от Bx1-1C, он никогда не инфицирует винчестер. Он заражает
только 40 дорожечные двухсторонние 9-ти секторные дискеты (360K),
которые были сформатированы MS DOS. При заражении дискеты ее имя
меняется на (С)BRAIN, чем и определяется неформальное название ви-
руса. Рассматриваемый штамм появился несколько позднее оригиналь-
ной версии и имеет, по-видимому, сингапурское происхождение.
На дискетах хвост вируса расположен в трех кластерах (шести
секторах), помеченных как сбойные. На зараженной ЭВМ вирус
уменьшает обьем доступной памяти на 7К.
В отличие от Bx1-1C, на инфицированной MS DOS (с вирусом,
находящемся в старших адресах памяти) невозможно прочитать
инфицированный бутсектор. В случае, когда делается такая попытка,
Dx3-E9 перенаправляет запрос на чтение в оригинальный бутсектор,
хранящийся в одном из сбойных кластеров. Поэтому непременным
условием анализа является предварительная загрузка MS DOS с
незараженной дискеты, защищенной от записи.
Процесс загрузки в память для данного вируса полностью
аналогичен вирусу Bx1-1C.
После того, как вирус стал резидентным, он активируется при
возникновении прерывания по чтению. Получив управление по этому
прерыванию, он анализирует, относится ли оно к дискете или к
винчестеру. Если это прерывание относится к дискете, то сначала
вирус проверяет, заражена уже данная дискета или нет. Для этой
цели считывается бутсектор и проверяются его четвертый и пятый
байты (в зараженной дискете там находится подпись "1234", которая
при просмотре дампа имеет вид 3412). Если подпись отсутствует, то
вирус заражает дискету, а затем обрабатывает команду READ. В
случае, если дискета уже заражена, вирус обрабатывает команду
READ; так же он поступает в случае, если дискета защищена от
записи.
Основное отличие в функционировании заключается в том, что при
заражении дискеты вирус ищет не один, а три последовательных
свободных кластера. Если их нет, то заражения не происходит.
Однако, если есть лишь один свободный кластер, который не
относится к двум последним кластерам дискеты, то вирус использует
его, затирая два соседних кластера и отмечая все три как сбойные.
Очевидно, что соответствующий файл(ы) повреждается и диск будет
копироваться с ошибками.
Вирус может длительное время находиться в стадии размножения.
Фаза проявления состоит в переименовании заражаемых дискет.
Также как и Bx1-1C, вирус Dx3-E9 может загружаться с несистемной
дискеты. При этом после загрузки вирус выдает сообщение:
Please Insert a Bootable disk
Then Type [Return]
Хотя размер вируса достигает 3К, менее половины кода вируса
действительно выполняется. Часть кода похоже не получает
управления ни при каких обстоятельствах и, возможно, вставлена для
затруднения дисассемблирования и анализа.
Исторические замечания. Оригинальная версия вируса Dx3-E9
является первым бутовым вирусом для MS DOS, получившим массовое
распространение и была выявлена в США в октябре 1987 г., где она
вызвала своего настоящую эпидемию. Название Brain связано с тем,
что он присваивает имя Brain любой зараженной дискете. Это один из
немногих вирусов, для которых установлены авторы: Basit Farood
Alvi (19 лет) и Bruder Amgad (23 года) из Лахора (Пакистан).
Поэтому иногда этот вирус называют "Душманские мозги". П.Хофман
отмечает наличие ряда штаммов:
1. Brain-B/Hard Disk Brain/Houston Virus - штамм заражающий
винчестер;
2. Brain-C - доработанный штамм Brain-B, в котором метка "(c)
Brain" удалена;
3. Clone Virus - доработанный штамм Brain-C, в котором опять
восстановлена оригинальная метка;
4. Clone-B - наиболее опасный штамм - версия Clone Virus
модифицированная так, что она уничтожает FAT винчестера после
5.05.92.
Рассматриваемый сингапурский штамм Dx3-E9 был первым штаммом
BRAIN, обнаруженным в СССР. Его выделил А.Сесса в Днепропетровске
в начале сентября 1989 г. на "дистрибутивных" дискетах с пакетами
Dr. Halo III и GeniScan Edit, входивших в поставочный пакет
сканера фирмы Genius. По данным А.Сессы вирус попал в
Днепропетровск вместе с компьютерами, привезенными из Тайваня на
компьютерную ярмарку.
Первым детектором для данного вируса был полидетекторор SCAN, а
первым фагом - программа NOBRAIN. Как детектор, так и фаг были
известны до появления вируса (распространялись через СОФТПАНОРАМУ
в сентябре-октябре 1989 года).
Неформальные названия. Помимо приведнного в заголовке,
используется название Brain-88 - Душманские мозги-88.
Методы и программные средства защиты. Рекомандуемые полифаги
приведены в прил.2. Как уже указывалось, вирус нельзя
идентифицировать путем визуального просмотра содержимого
бутсектора, например, с помощью PCTools, на зараженной машине; его
можно определить, только загрузившись с системной защищенной
дискеты. Поскольку вирус размещает в соответствующих байтах
бутсектора свою подпись, можно вручную вакцинировать дискеты,
исправляя соответствующие байты бутсектора.
Бутсектор, зараженный вирусом Brain
000: FAE94A0134120102 0600010020202000 ..J.4....... .
010: 2020202020205765 6C636F6D6520746F Welcome to
020: 207468652044756E 67656F6E20202020 the Dungeon
030: 2020202020202020 2020202020202020
040: 2020202020202020 2020202020202020
050: 2028432920313938 3820426173697420 (C) 1988 Basit
060: 2620416D6A616420 2870767429204C74 & Amjad (pvt) Lt
070: 642E202020202020 2020202020202020 d.
080: 20425241494E2043 4F4D505554455220 BRAIN COMPUTER
090: 5345525649434553 2E2E373330204E49 SERVICES..730 NI
0A0: 5A414D20424C4F43 4B20414C4C414D41 ZAM BLOCK ALLAMA
0B0: 20495142414C2054 4F574E2020202020 IQBAL TOWN
0C0: 2020202020202020 20204C61686F7265 Lahore
0D0: 2C50616B69737461 6E2E2050683A2034 ,Pakistan. Ph: 4
0E0: 33303739312C2034 34333234382E2056 30791, 443248. V
0F0: 6572202853696E67 61706F7265292020 er (Singapore)
100: 426577617265206F 6620746869732022 Beware of this "
110: 7669727573222E20 49742077696C6C20 virus". It will
120: 7472616E73666572 20746F206D696C6C transfer to mill
130: 696F6E206F662044 69736B6574746573 ion of Diskettes
140: 2E2E2E2E20242340 2524402121208CC8 .... $#@%$@!! ..
... .. .. .. .. .. .. .. .. . . . . . . . .
Фрагменты дампа хвоста вируса Brain,
расположенного в псевдосбойных кластерах 55 - 57
+----- начало оригиналь-
| ного бутсектора
000: EB349049424D4D53 332E330002020100 .4.IBMMS3.3.....
010: 027000D002FD0200 0900020000000000 .p..............
020: 0000000000000000 0000000000000012 ................
030: 000000000100FA33 C08ED0BC007C1607 .......3.....|..
040: BB780036C5371E56 1653BF2B7CB90B00 .x.6.7.V.S.+|...
050: FCAC26803D007403 268A05AA8AC4E2F1 ..&.=.t.&.......
060: 061F894702C7072B 7CFBCD137267A010 ...G...+|...rg..
... .. .. .. .. .. .. .. .. . . . . . . . .
150: 1A7C88162A7CA339 7CC3B4028B16397C .|..*|.9|.....9|
160: B106D2E60A363B7C 8BCA86E98A16FD7D .....6;|.......}
170: 8A362A7CCD13C30D 0A4E6F6E2D537973 .6*|.....Non-Sys
180: 74656D206469736B 206F72206469736B tem disk or disk
190: 206572726F720D0A 5265706C61636520 error..Replace
1A0: 616E642073747269 6B6520616E79206B and strike any k
1B0: 6579207768656E20 72656164790D0A00 ey when ready...
1C0: 0D0A4469736B2042 6F6F74206661696C ..Disk Boot fail
1D0: 7572650D0A004942 4D42494F2020434F ure...IBMBIO CO
1E0: 4D49424D444F5320 20434F4D00000000 MIBMDOS COM....
1F0: 0000000000000000 00000000000055AA ..............U.
... .. .. .. .. .. .. .. .. . . . . . . . .
00: EB26202843292031 3938382042617369 .& (C) 1988 Basi
210: 74202620416D6A61 6420287076742920 t & Amjad (pvt)
220: 4C74642E00040100 2EC60625021F33C0 Ltd........%..3.
... .. .. .. .. .. .. .. .. . . . . . . . .
340: 0000000000000000 0000000000000000 ................
350: EB25900300202843 2920313938382042 .%... (C) 1988 B
360: 6173697420262041 6D6A616420287076 asit & Amjad (pv
370: 7429204C746420E8 AD00A1BE063DFDFF t) Ltd ......=..
... .. .. .. .. .. .. .. .. . . . . . . . .
490: 036B000303BE0E01 000101E0D89DD7E0 .k..............
4A0: 9F8D989F8EE02028 432920427261696E ...... (C) Brain
4B0: 2024E8DB00720A57 E81F005F7203E8D7 $...r.W..._r...
4C0: 00C3BB9B04B90B00 8A07F6D888044643 ..............FC
... .. .. .. .. .. .. .. .. . . . . . . . .
+----- еще одна копия
| оригинального
| бутсектора
6B0: 09C606090000FE06 0B00C3647461EB34 ...........dta.4
6C0: 9049424D4D53332E 3300020201000270 .IBMMS3.3......p
6D0: 00D002FD02000900 0200000000000000 ................
6E0: 0000000000000000 0000000000120000 ................
820: D2E60A363B7C8BCA 86E98A16FD7D8A36 ...6;|.......}.6
830: 2A7CCD13C30D0A4E 6F6E2D5379737465 *|.....Non-Syste
840: 6D206469736B206F 72206469736B2065 m disk or disk e
850: 72726F720D0A5265 706C61636520616E rror..Replace an
860: 6420737472696B65 20616E79206B6579 d strike any key
870: 207768656E207265 6164790D0A000D0A when ready.....
880: 4469736B20426F6F 74206661696C7572 Disk Boot failur
890: 650D0A0049424D42 494F2020434F4D49 e...IBMBIO COMI
8A0: 424D444F53202043 4F4D000000000000 BMDOS COM......
8B0: 0000000000000000 0000000055AA0000 ............U...
8C0: 0000000000000000 0000000000000000 ................
*** следующие строки идентичны предыдущей ***
AB0: 0000000000000000 000000000000FDFF ................
AC0: FF03400005600007 800009A0000BC000 ..@..`..........
AD0: 0DE0000F00011120 0113400115600117 ....... ..@..`..
AE0: 800119A0011BC001 1DE0011F00022120 ..............!
AF0: 0223400225600227 800229A0022BC002 .#@.%`.'..)..+..
B00: 2DE0022F00033120 0333F0FF00000000 -../..1 .3......
B10: 70FFF77FFF000000 0000000000000000 p..............
B20: 0000000000000000 0000000000000000 ................
*** следующие строки идентичны предыдущей ***
BF0: 0000000000000000 0000000000000000 ................
7.2.2. Вирус Dx3-E9
(Оригинальная версия BRAIN;
Pakistani virus - Пакистанский вирус;
Brain-86 - Душманские Мозги-86)
Оригинальная версия Brain в СССР, по видимому, не отмечалась.
