Вирус поражает и винчестер, однако размещает свой хвост не в
псевдосбойных кластерах, а в секторах, расположенных между MBR и
началом раздела С.
Процесс размножения стандартен. Данный вирус, как и большинство
бутовых вирусов, конфликтует с драйверами дискет, поддерживающих
нестандартные форматы (например, 720K). При этом либо система
зависает, либо выдается сообщение о делении на нуль.
Инфицированный диск содержит сообщение и часть кода вируса в
бутсекторе. Остальная часть вируса, включая копию оригинального
(т.е. незараженного) бутсектора, содержится в трех кластерах,
которые, как уже указывалось выше по разному рамещаются на дискете
и винчестере.
Фаза проявления данного вируса состоит в прописывании
определенным символом всего содержимого раздела С. Если винчестер
содержит несколько разделов, то остальные разделы остаются
нетронутыми (при использовании ADM). Вирус подсчитывает время
использования диска с момента заражения и активирусется после
достижения определнного значения (примерно 48 часов). Обычно это
означает 1-6 недель с момента заражения в зависимости от
интенсивности использования компьютера. Фаза проявления начинается
с выдачи сообщения, содержащегося в коде вируса.
"Disk Killer -- Version 1.00 by COMPUTER OGRE 04/01/89
Warning!!
Don't turn off the power or remove the diskette while Disk
Killer is Processing!
PROCESSING
Now you can turn off the power. I wish you Luck!"
Следует отметить, что в этот момент еще можно спасти часть
информации нажав на кнопку перезагрузки (теряются системные
блоки). Затем вирус кодирует сектора выполняя операцию XOR со
значениями 0AAAAh и 05555h. Как известно операция XOR обратима,
поэтому можно восстановить перекодированную информацию. Утилита
для этой цели находится в стадии разработки.
Исторические замечания. В теле вируса содержится дата 04.01.89
(по-видимому, в американском формате), которую можно
интерпретировать как дату создания вируса. По данным П.Хоффман был
выделен в Калифорнии в апреле 1989 г. и имеет тайванское
происхождение.В нашей стране вирус появился в начале 1990 года.
Неформальные названия. Полидетектор SCAN называет данный вирус
"Disk Killer Virus [Killer]". Другими неформальными названиями,
помимо приведенных в заголовке являются Ogre - Людоед, Computer
Ogre, Disk Ogre.
Методы и программные средства защиты. Вирус можно
идентифицировать путем визуального просмотра содержимого
бутсектора, например, Norton Utilities. В качестве детектора может
использоваться полидетектор SCAN. Вместо фага можно использовать
команду SYS.
Дамп бутсектора, зараженного вирусом Bx3-EB
000: FAEB4F4D53444F53 332E330002020100 ..OMSDOS3.3.....
010: 027000D002FD0200 0900020000000000 .p..............
020: 0000000000000000 0000000000000012 ................
030: 000000000100FA33 C08ED0BC0000CB3C .......3.......<
040: B200AE0000007400 0000005500000000 ......t....U....
050: 55552EA11304B106 D3E08ED8813E3E00 UU...........>>.
060: CB3C75081E8D063B 0250FBCBB8007CB1 ....u....-......
060: 06D3E00E1F8EC0BE 007C33FFB90014FC .........|3.....
070: F3A406B8000450CB 32E4CD13720D33D2 ......P.2...r.3.
080: B92128BB007EB809 02CD13B83C7C50C3 .!(..~......<|P.
090: BE5F7DB9480032FF 8A04B40ECD1046E2 ._}.H.2.......F.
... .. .. .. .. .. .. .. .. . . . . . . . .
150: 0A36307C8BCA86E9 8B161E7CCD13C30D .60|.......|....
160: 0A4E6F6E2D537973 74656D206469736B .Non-System disk
170: 206F72206469736B 206572726F720D0A or disk error..
180: 5265706C61636520 616E642073747269 Replace and stri
190: 6B6520616E79206B 6579207768656E20 ke any key when
1A0: 72656164790D0A00 0D0A4469736B2042 ready.....Disk B
1B0: 6F6F74206661696C 7572650D0A004942 oot failure...IB
1C0: 4D42494F2020434F 4D49424D444F5320 MBIO COMIBMDOS
1D0: 20434F4D00000000 0000000000000000 COM............
1E0: 0000000000000000 0000000000000000 ................
1F0: 000000497A616B00 00000000000055AA ...Izak.......U.
7.6. Индийская группа
7.6.1. Вирус WM-1F (Joshi - Джоши)
Название данного вируса связано с тем, что при загрузке MS DOS с
5 января любого года на экран выдается соообщение Type "Happy
Birthday Joshi" ! и компьютер ожидает ответа. Если ввести ответ
Happy Birthday Joshi то загрузка будет продолжена. По данным
Д.Н.Лозинского при программировании выдачи сообщения автор вируса
ориентировался только на цветной монитор.
Вирус WM-1F является наиболее скрытным и тщательно маскирующимся
из попавших в CCCР бутовых вирусов. Это единственный из попавших в
СССР вирусов, который "переживает" теплую перезагрузку. Заражает
как 360К, так и 1.2М дискеты, а также винчестер.
Заражает дискеты емкостью как 360К, так и 1.2М. При заражении
дискет, подобно вирусу D-29 (Den-Zuk), записывает хвост на
дополнительную дорожку (41 для 360К дискет, 81 для 1.2М дискет).
При заражении дискеты проверок, занят ли указанные сектора
информацией или нет, вирус не выполняет. Поэтому на дискете,
содержащей на 41 дорожке какую-то информацию (например "замок"
защиты от копирования), она будет уничтожена. Как обычно, для
заражения достаточно единственно обращения к дискете при
резидентном вирусе.
Похоже автор был знаком с особенностями формата 1.2M очень
слабо. Распознавание дискет 1.2M выполняется некорректно - с
помощью попытки чтения 17 сектора. Поэтому возможно распознавание
дискет 1.2М как 360 и "вклеивание" тела вируса в середину дискеты
с соответствующими последствиями.
Более того, при попытке разметить дискету 1.2M на зараженной
машине начинаются "фокусы": из меню PC TOOLS этот формат может
пропасть, размеченные дискеты сбоят и т.д. Эта характерная
особенность данного вируса может служить достаточно надежным
признаком зараженности машины данным вирусом.
При заражении винчестера голова вируса записывается в не в
бутсектор раздела С, а в абсолютный начальный сектор диска,
который на винчестере содержит Partition Table (таблицу разделов
диска), т.е. аналогично вирусу M-05 (Stoned). При этом хвост
вируса располагается в восьми секторах начиная с абсолютного
адреса 0/0/2, т.е. сектора, следующего за MBR (как уже отмечалось,
обычно эти сектора представляют собой неиспользуемое пространство
между MBR и началом логического диска С). Из этих восьми секторов
6 заняты собственно хвостом вируса, следующий седьмой сектор -
пустой, а восьмой содержит оригинальный MBR. Как и при заражении
дискеты, при заражении винчестера вирус не проверяет содержимое
этих секторов при заражении винчестера. Такое поведение вируча
можно рассматривать как лишний аргумент в пользу использования
программы MIRROR в AUTOEXEC.BAT: если эти сектора содержат какую-
то важную информацию (как например, при использовании ADM), она
будет уничтожена, при загрузке машина зависнет и можно
восстановить эти сектора с помощью PCBACKUP. Если начальные
сектора периодически копируются на дискету с помощью Norton
Utilities, то их можно восстановить из соответствующего файла.
Впрочем помимо резервирования копии с помощью MIRROR некоторые
