Страница 45 из 106: Компьютерная вирусология ч. 1

Весь текст 1232.53 Kb
Компьютерная вирусология ч. 1

← Предыдущая страница	Следующая страница →
1 ... 38 39 40 41 42 43 44 45 46 47 48 49 50 51 ... 106
Приводимый ниже  фрагмент  бутсектора  воспроизводится  по  статье
[149].
  Исторические замечания.  Выделен и изучен И.Сысоевым. Приводимые
сведения опираются непосредственно на его сообщение на семинаре.
  Неформальные названия.
  Методы и программные средства защиты. Рекомендуется использовать
полифаг AV.



                       Голова вируса BRAIN
          (видна только на незараженной вирусом машине)

000: FAE94A0134120102 2700010000000020  ·щJ4' 
010: 2020202020205765 6C636F6D6520746F        Welcome to
020: 207468652044756E 67656F6E20202020   the Dungeon
030: 2020202020202020 2020202020202020
040: 2020202020202020 2020202020202020
050: 2028632920313938 3620426173697420   (c) 1986 Basit
060: 2620416D6A616420 2870767429204C74  & Amjad (pvt) Lt
070: 642E202020202020 2020202020202020  d.
080: 20425241494E2043 4F4D505554455220   BRAIN COMPUTER
090: 5345525649434553 2E2E373330204E49  SERVICES..730 NI
0A0: 5A414D20424C4F43 4B20414C4C414D41  ZAM BLOCK ALLAMA
0B0: 20495142414C2054 4F574E2020202020   IQBAL TOWN
0C0: 2020202020202020 2020204C41484F52             LAHOR
0D0: 452D50414B495354 414E2E2E50484F4E  E-PAKISTAN..PHON
0F0: 45203A3433303739 312C343433323438  E :430791,443248
100: 2C3238303533302E 2020202020202020  ,280530.
110: 2020426577617265 206F662074686973    Beware of this
120: 2056495255532E2E 2E2E2E436F6E7461   VIRUS.....Conta
130: 637420757320666F 722076616363696E  ct us for vaccin
...  ..  ..  ..  ..   ..  ..  ..  ..    . . . . . . . .



                7.2.3. Штамм Dx3-E9 (Ashar - Ашар)

  Данный штамм  отличается от  предыдущего тем, что помимо дискет,
он заражает  и винчестер. Содержит модифицированное по отношению к
предыдущему вирусу  текстовое сообщение  "VIRUS_SHOE RECORD, v9.0.
Dedicated to  the dynamic memories of millions of virus who are no
longer with  us today".  Последнее, как  и в предыдущем случае, не
видно при  просмотре бутсектора на зараженной машине. Используемое
неформальное название  связано  с  строкой  "(c)  ashar",  которая
обычно содержится в теле вируса со смещением 04A6h.
  Исторические замечания. Данный штамм описан П.Хофман в версии от
10.08.90. Широко  распространен в США. Имеется версия 9.1, которая
в отличие  от рассматриваемой  версии 9.0 не заражает винчестер. В
СССР выделен Д.H.Лозинским в начале 1990 года.
  Неформальные  названия.   Помимо   приведенного   в   заголовке,
используются названия Shoe_Virus, UIUC Virus
  Методы и программные средства защиты.См. предыдущий штамм.


                        Дамп штамма Ashar



000: FAE94A0134120009 1700010000000000  ..J.4...........
010: 57656C636F6D6520 746F207468652020  Welcome to the
020: 44756E67656F6E20 2020202020202020  Dungeon
030: 2863292031393836 20427261696E1726  (c) 1986 Brain.&
040: 20416D6A61647320 2870767429204C74   Amjads (pvt) Lt
050: 6420202056495255 535F53484F452020  d   VIRUS_SHOE
060: 5245434F52442020 2076392E30202020  RECORD   v9.0
070: 4465646963617465 6420746F20746865  Dedicated to the
080: 2064796E616D6963 206D656D6F726965   dynamic memorie
090: 73206F66206D696C 6C696F6E73206F66  s of millions of
0A0: 2076697275732077 686F20617265206E   virus who are n
0B0: 6F206C6F6E676572 2077697468207573  o longer with us
0C0: 20746F646179202D 205468616E6B7320   today - Thanks
0D0: 474F4F444E455353 2121202020202020  GOODNESS!!
0E0: 2042455741524520 4F46205448452065   BEWARE OF THE e
0F0: 722E2E5649525553 20203A205C746869  r..VIRUS  : \thi
100: 732070726F677261 6D20697320636174  s program is cat
110: 6368696E67202020 20202070726F6772  ching      progr
120: 616D20666F6C6C6F 7773206166746572  am follows after
130: 207468657365206D 657373656765732E   these messeges.
140: 2E2E2E2E20242340 2524402121208CC8  .... $#@%$@!! ..
150: 8ED88ED0BC00F0FB A0067CA2097C8B0E  ..........|..|..
160: 077C890E0A7CE857 00B90500BB007EE8  .|...|.W......~.
170: 2A00E84B0081C300 02E2F4A113042D07  *..K..........-.
180: 00A31304B106D3E0 8EC0BE007CBF0000  ............|...
190: B90410FCF3A406B8 000250CB5153B904  ..........P.QS..
...  ..  ..  ..  ..   ..  ..  ..  ..    . . . . . . . .



                  Фрагменты дампа хвоста вируса,
         расположенного в псевдосбойных кластерах 55 - 57



200: EB26286329203139 383620427261696E  .&(c) 1986 Brain
210: 202620416D6A6164 7320287076742920   & Amjads (pvt)
220: 4C74642000040000 2EC60625021F33C0  Ltd .......%..3.
230: 8ED8A14C00A3B401 A14E00A3B601B876  ...L.....N.....v
240: 02A34C008CC8A34E 00B9040033C08EC0  ..L....N....3...
...  ..  ..  ..  ..   ..  ..  ..  ..    . . . . . . . .
340: 0000000000000000 0000000000000000  ................
350: EB25900300202863 2920313938362042  .%... (c) 1986 B
360: 7261696E20262041 6D6A616473202870  rain & Amjads (p
370: 767429204C7464E8 AD00A1BE063DFDFF  vt) Ltd......=..
...  ..  ..  ..  ..   ..  ..  ..  ..    . . . . . . . .
490: 0363000303BE0E01 000101E0D89DD7E0  .c..............
4A0: 9F8D989F8EE02028 6329206173686172  ...... (c) ashar
4B0: 2024E8DB00720A57 E81F005F7203E8D7   $...r.W..._r...
4C0: 00C3BB9B04B90B00 8A07F6D888044643  ..............FC
...  ..  ..  ..  ..   ..  ..  ..  ..    . . . . . . . .
                                  +----- начало оригиналь-
                                  |      ного бутсектора
6B0: 09C606090000FE06 0B00C3647461EB34  ...........dta.4
6C0: 9049424D2020332E 3300020201000270  .IBM  3.3......p
6D0: 00D002FD02000900 0200000000000000  ................
6E0: 0000000000000000 0000000000120000  ................
...  ..  ..  ..  ..   ..  ..  ..  ..    . . . . . . . .
830: 2A7CCD13C30D0A4E 6F6E2D5379737465  *|.....Non-Syste
840: 6D206469736B206F 72206469736B2065  m disk or disk e
850: 72726F720D0A5265 706C61636520616E  rror..Replace an
860: 6420737472696B65 20616E79206B6579  d strike any key
870: 207768656E207265 6164790D0A000D0A   when ready.....
880: 4469736B20426F6F 74206661696C7572  Disk Boot failur
890: 650D0A0049424D42 494F2020434F4D49  e...IBMBIO  COMI
8A0: 424D444F53202043 4F4D000000000000  BMDOS  COM......
8B0: 0000000000000000 0000000055AA0000  ............U...
...  ..  ..  ..  ..   ..  ..  ..  ..    . . . . . . . .



                    7.3. Южнозеландская группа

  Для данной  группы характерно  заражение  MBR  на  винчестере  и
минимальный хвост,  размером  в  один  сектор,  содержащий  только
оригинальный  бутсектор   (или  MBR),  который  размещается  не  в
псевдосбойном кластере,  а  по  определнному  абсолютному  адресу,
приходящемуся на начальные сектора диска.


            7.3.1. Вирус M-05 (Stoned - "Забалдевший")

  Название данного вируса связано с тем, что при загрузке MS DOS с
вероятностью 1/8  на экран  выдается сообщение  "Your  PC  is  now
Stoned", после  которого, с  некоторой задержкой,  возрастающей по
мере  увеличения   количества  перезагрузок   и   сопровождающийся
характерным звуком  выполняется нормальная загрузка. Голова вируса
вируса содержит строку "LEGALISE MARIJUANA!". Хвост состоит только
из оригинального бутсектора.
  Заражение дискет  выполняется стандартным образом. При заражении
винчестера голова  вируса записывается в не в бутсектор раздела С,
а в  абсолютный начальный  сектор  диска,  который  на  винчестере
содержит Partition Table (таблицу разделов диска).
  Расположение хвоста  вируса отличается для дискеты и винчестера.
На дискете  хвост вируса  расположен не  в сбойном  кластере, а  в
секторе с  абсолютным  адресом  (цилиндр/дорожка/сектор)  0/1/3  -
последнем секторе  главного каталога  дискеты. На винчестере хвост
располагается в  свободный  сектор  с  абсолютным  адресом  0/0/7,
который представляет собой неиспользуемое пространство между MBR и
началом логического диска С.
  При заражении  дискеты проверок,  занят ли указанный выше сектор
информацией или  нет, вирус  не  выполняет.  Поэтому  на  дискете,
содержащей в  главном каталоге  много  мелких  программ,  возможно
уничтожение части  каталога. В случае, если винчестер разбит более
чем на  четыре логических  раздела, содержимое  записей  PARTITION
TABLE всех  разделов после  четвертого после  заражения теряется и
информация на  них  становится  недоступной.  Информацию  об  этих
разделах можно восстановить с помощью Norton Disk Doctor.
  Исторические замечания.  Вирус  M-05  впервые  был  обнаружен  в
Веллингтоне (Новая  Зеландия) в начале 1988 г. По данным П.Хоффман
оригинальный вирус  заражал только  пятидюймовые дискеты  360K.  С
этой точки  зрения описанный  выше вирус следует рассматривать как
штамм оригинального  (Stoned-B). В  нашей стране  появился в конце
1989 года  практически одновременно  в нескольких городах. Имеется
несколько  штаммов  среди  которых  отметим  штамм  Stone  Rostov,
описанный ниже,  а также  Stoned-C: штамм  с удаленным сообщением;
Stoned-D :  аналогичен описанному  выше, однако  способен заражать
дискеты типа HD (как трех, так и пятидюймовые).
  Неформальные  названия.   Помимо  приведенных  выше  встречаются
названия: Marijuana  - Марихуана,  Hawaii -  Гаваи, New  Zealand -
Новая Зеландия,  San Diego  - Сан Диего, Smithsonian. Полидетектор
SCAN называет данный вирус "Stoned Virus [Stoned]".
  Методы и  программные средства защиты. Рекомендуемые детекторы и
полифаги приведены  в прил.2.  Простейшим фагом для данного вируса
на дискете  является команда  SYS. Для  незагружаемого диска можно
вручную стереть бутсектор.
         Дамп бутсектора дискеты, зараженной вирусом M-05

000: EA0500C007E99900 0043A300F0E40040  .........C.....@
010: 9F007C00001E5080 FC02721780FC0473  ..|...P...r....s
020: 120AD2750E33C08E D8A03F04A8017503  ...u.3....?...u.
030: E80700581F2EFF2E 0900535152065657  ...X......SQR.VW
040: BE0400B801020E07 BB000233C98BD141  ...........3...A
050: 9C2EFF1E0900730E 33C09C2EFF1E0900  ......s.3.......
060: 4E75E0EB359033F6 BF0002FC0E1FAD3B  Nu..5.3........;
...  ..  ..  ..  ..   ..  ..  ..  ..    . . . . . . . .
170: 1F0E07BEBE03BFBE 01B94202F3A4B801  ..........B.....
180: 0333DBFEC1CD13EB C507596F75722050  .3........Your P
190: 43206973206E6F77 2053746F6E656421  C is now Stoned!
1A0: 070D0A0A004C4547 414C495345204D41  .....LEGALISE MA
1B0: 52494A55414E4121 0000000000000000  RIJUANA!........
1C0: 0000000000000000 0000000000000000  ................
1D0: 0000000000000000 0000000000000000  ................
1E0: 0000000000000000 0000000000000000  ................
1F0: 0000000000000000 0000000000000000  ................
  Следует обратить  внимание, что  в конце  зараженного бутсектора
отсутствует двухбайтовый признак загружаемого бутсектора 55h AAh.


                   7.3.2. Штамм "Stone Rostov"

  Данный штамм  практически идентичен  базисной  версии.  Изменена
лишь часть  кода, связанная  с проявлением вируса: данный штамм не
содержит ни  характерных текстовых  строк ни кода, который выводит
их на дисплей. Вместо этого вставлен код, который при при загрузке
с зараженной  дискеты с  вероятностью 1/32 стирает на винчестере 8
секторов.


                    7.3.3. Вирус "PrintScreen"

  Отличается адресом  хранения хвоста на винчестере (1/3/13 вместо
0/0/7 как в оригинальной версии. При этом может уничтожить один из
секторов FAT.



          7.4. Вирус Bx3-EB (Disk Killer - Диск-киллер)

  Неформальное название  данного вируса  связано с содержащимися в
его теле  текстовыми строками  (см. ниже).  Формально данный вирус
относится к  бутовым вирусам  типа  Вx3,  поскольку  поражает  как
дискеты,  так   и  винчестер,   причем  на  дискете  хвост  вируса
расположен  в   трех  кластерах,   помеченных  как  сбойные.  Дамп
секторов, содержащих  данный вирус,  приведен ниже.  Иногда  из-за
ошибки в  вирусе эти сектора "отнимаются" у некоторого файла, а не
берутся из  свободного пространства  и создается  впечатение,  что
файл заражен данным вирусом. Например автору был передан экземпляр
программы DISKCOPY, содержащей в хвосте тело данного вируса.
← Предыдущая страница	Следующая страница →
1 ... 38 39 40 41 42 43 44 45 46 47 48 49 50 51 ... 106
Ваша оценка:
Комментарий:
Подпись:	(Чтобы комментарии всегда подписывались Вашим именем, можете зарегистрироваться в Клубе читателей)
Сайт:
Комментарии (3)
Demon's Souls |#13| Storm King

Demon's Souls |#12| Old Monk & Old Hero

Demon's Souls |#11| Мaneater part 2

Demon's Souls |#10| Мaneater (part 1)

Другие игры...

Компьютерная вирусология ч. 1
