фаги умеют исправлять эту ошибку.
Зараженный MBR при резидентном вирусе не виден. Механизм
обеспечения данного эффекта уже описывался применильно к вирусу
BRAIN: вирус анализирует запросы к винчестру и перенаправляет
операцию чтения нулевого сектора на сектор, где хранится
"спрятанная" Partition Table.
В памяти вирус размещается в старших адресах, "откусывая" у MS
DOS 6 Кб. Вирус перехватывает прерывания 8, 9, 13 и 21 - почти как
какой-нибудь файловый вирус.
Как уже указывалось, отличительной особенностью данного вируса
является то, что он перехватывает прерывание от клавиатуры, что
позволяет этому вирусу "выживать" при теплой перезагрузке (с
помощью Ctrl-Alt-Del).
Исторические замечания. Вирус WM-1F впервые был обнаружен в
Индии в июне 1990 года. В нашей стране появился уже в июле. Автору
был передан Д.Н.Лозинским. По данным П.Хоффман, начиная с конца
1989 года в Индии активно разрабатываются бутовые вирусы и не
исключено, что подобно тому как Болгария является основным
поставщиком файловых вирусов для СССР, на ту же роль для бутовых
вирусов скоро сможет претендовать Индия.
Неформальные названия. Полидетектор SCAN называет данный вирус
"Joshi". Среди других названий отметим Happy Birthday - С днем
рожденья.
Методы и программные средства защиты. Рекомендуемые детекторы и
полифаги приведены в прил.2. В частности, в качестве детектора для
данного типа вируса можно использовать полидетектор SCAN, а в
качестве фага - полифаг Е.Сусликова K32.COM. Следует отметить, что
начиная с версии 36 в полифаге AIDSTEST предусмотрена возможность
исправлять Partition Table даже в довольно сложных случаях.
Дамп MBR винчестера, зараженного вирусом WB-1F
000: EB1F90C007E99900 021B0300C8E40080 ................
010: 7F007C00001E5080 FC02721780FC0002 ..|...P...r.....
020: 80FA8CC88ED88ED0 BC00F0FBA11304B1 ................
030: 06D3E08EC0B80002 2D2100BF0000BE00 ........-!......
040: 7C03F003F8B97901 2BC8FCF3A675108C |.....y.+....u..
050: C00520008EC0BB00 000653B80100CBA1 .. .......S.....
060: 13042D0600A31304 B106D3E08EC0BE00 ..-.............
070: 7CBF0000B90002FC F3A48CC00520008E |............ ..
080: C0BB000006530E1F B402B0018A2E1E7C .....S.........|
090: 8A0E1F7CB6008A16 207C50B800B88ED8 ...|.... |P.....
0A0: 585053515206CD13 075A595B58731050 XPSQR....ZY[Xs.P
0B0: 53515206B400CD13 075A595B58EBE2FE SQR......ZY[X...
0C0: C181C300021E0E1F 508AC12A061F7C2C ........P..*..|,
0D0: 08581F72CCB80000 CB00000000000000 .X.r............
0E0: 0000000000000000 0000000000000000 ................
*** расположенные далее байты вирусом не меняются ***
8. БУТОВЫЕ ВИРУСЫ, ИЗВЕСТНЫЕ ТОЛЬКО ПО ЛИТЕРАТУРЕ
Некоторые из упоминаемых в зарубежной литературе бутовых вирусов
пока в СССР выделены не были. В прил.4 приводятся собранные
автором сведения о таких вирусах. Интересно отметить, что если
файловые вирусы имеют, в основном западное происхожение, то
бутовые - восточное (Индия, Индонезия, Новая Зеландия, Пакистан,
Сингапур, Тайвань, Южная Корея). Учитывая, что из Индии,
Сингапура, Тайваня, Южной Кореи мы получаем основную массу
персональных компьютеров, шансы на быстрое появление этих вирусов
в нашей стране весьма высоки.
8.1. Смешанные бутово-файловые вирусы
Данный тип вирусов является попыткой увеличить выживаемость
бутовых вирусов при наличии средств входного контроля.
Действительно, поскольку бутовый вирус запускается до MS DOS, то
он может беспрепятственно стать резидентным, а затем уже пытаться
обходить средства слежения за операциями ввода/вывода. В то же
время размножение по типу файлового вируса создает значительно
лучшие шансы проникновения на новые компьютеры. Первой, хотя и
неполной, попыткой реализации вируса рассматриваемого типа можно
считать вирус Ghostballs
8.1.1. Вирус C-2351 (Ghostballs - Мячик призрака)
Данный вирус является комбинацией Венского вируса и Пинг-Понга.
Файловая часть вируса основана на С-648 и при запуске зараженной
программы заражает бутсектор дискеты или винчестера бутовой
частью, основанной на вирусе Bx1-1C, в которой сохранен визуальный
эффект двужущегося светлого пятна, однако отсутствует способность
к размножению. При этом, если бутсектор восстановлен каким-нибудь
фагом, то он повторно заражается при первом же запуске зараженной
программы.
Исторические сведения. Вирус был обнаружен в октябре 1989 г. в
Исландии известным исландским вирусологом Фридрихом Скуласоном
(Fridrik Skulason).
Неформальные названия: Ghost Boot, Ghost COM
Методы обнаружения и средства защиты. Средства обнаружения и
защиты. Детектируется Scan (версии 66+), Для удаления бутовой
части можно использовать команду SYS.
8.1.2. Вирус RCE-2560 (Virus-101)
Данный вирус является первым известным резидентным вирусом с
самомодифицирующимся инсталлятором и первым, заражающим наряду с
файлами, бутсектор. Вирус заражает файлы только на дискетах. Если
на дискете нет файла, который можно заразить, то он заражает
бутсектор.
Исторические сведения. Вирус написан Патриком Толме (Patrick
Toulme) в январе 1990 г. в качестве "учебного пособия" и автор
некоторое время распространял за плату исходный текст вируса.
Неформальные названия: Virus-101
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления бутовой части можно использовать команду SYS.
8.1.3. Вирус RC-1253 (AntiCad, V-1)
Данный вирус заражает как COM-файлы, так и бутсектор дискет и
MBR винчестера. При выполнении зараженной программы вирус
инсталллируется в младшие адреса свободной памяти и виден как
дополнительная резидентная программа, занимающая 2128 байтов
(общий размер системной памяти не изменяется) и перехватывающая
прерывания 08, 13, 21, 60. Затем вирус заражает MBR винчестера или
бутсектор дискеты в зависимости от конфигурации компьютера.
Являясь резидентным вирус заражает каждый выполняемый COM-файл,
дописываясь в конец файла и вставляяя в начало файла команду
перехода. Размер зараженных файлов увеличивается на 1253 байта.
При этом вирус не делает попытки скрыть это увеличение. Признаком
зараженности файла является строка "V-1" (562D31), расположенная
с четвертого байта, сразу после команды перехода.
Если при резидентном вирусе выполняется доступ к дискете, то
бутсектор заражается вирусом. в частности, отформатированные на
зараженном компьютере дискеты уже заражены. Куда вирус прячет
хвост в настоящее время не известно.
При попытке загрузки с зараженной дискеты вирус инсталллируется
по типу бутвируса, уменьшая системную память на 77840 байтов.
Характерным проявлением данного вируса является неожиданные
попытки доступа к неативным флоппи дискам при форматировании.
Например, если форматируется дискета в дисководе А, то зажигается
лампоска в дисководе B. Фаза проявления заключается в уничтожении
соержимого дискеты или винчестера и наступает, по данным П.Хоффман
24 Декабря. Уничтоженная дискета имеет повторяющуюся структуру из
девяти сеторов.
Исторические сведения. Вирус обнаружен в августе 1990 г. в
Австрии и, по-видимому, там же и написан.
Неформальные названия: Помимо приведенных выше отсутстуют.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления бутовой части можно использовать команду SYS.
8.1.4. Вирус RCE-1040 (Anthrax)
Неформальное название данного вируса связано с тем, что в теле
вируса имеются имеются текстовые строки "(c)Damage, Inc." и
"ANTHRAX". Формально данный вирус относится с смешанным файлово-
бутовым резидентным вирусам. Заражает как COM-, так и EXE-файлы,
включая COMMAND.COM. Помимо этого заражает MBR винчестера и
бутсектор дискет.
При заражении файлов их длина увеличивается на 1040 - 1232
байтов. При выполнении зараженной программы вирус инсталлируется в
оперативной памяти, однако в отличие от большинства известных
вирусов не начинает заражать файлы немедленно. Только после того,
как некоторое наступает некоторое событие, по видимому связанное с
количеством введенных с кавиатуры символов, он начинает заражать
по одному файлу при каждом выполнении какой-нибудь программы. При
этом заражается не сама выполняемая программа, а другой файл
выбираемый вирусом для заражения сначала на диске С, начиная с
корневого каталога и далее по всему делеву каталогов, затем на
диске D и т.д.
Детали заражения дискет и бутсектора неясны.
Проявления вируса в настоящий момент неизвестны.
Исторические сведения. Вирус был выделен в Нидерландах в июле
1990 г. Он был загружен в несколько BBS с троянской копией
антивирусной программы USCAN.ZIP. Это третий в 1990 г. вирус,
распространявшийся с троянской копией антивирусной программы.
Первыми двумя были RCE-2100 (также распространялся с USCAN) и RCE-
1600 (распространялся с Aidstest). По видимому, вирус имеет
восточноевропейское (болгарское?) происхождение.
Неформальные названия: Помимо приведенных выше отсутстуют.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления бутовой части можно использовать команду SYS.
8.2. Бутовые вирусы восточного происхождения
8.2.1. Вирус Microbes
Конкретные сведения о вирусе практически отсутствуют. Заражает
как дискеты так и винчестер. При заражении PC/XT возможно
зависание системы.
Исторические сведения. Вирус был обнаружен в Бомбее (Индия в
июне 1990г.). Возможно, что этот вирус является историческим
предшественником Joshy и написан тем же автором.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления можно использовать команду SYS.
8.2.2. Вирус AirCop
Заражает только 360К пятидюймовые дискеты. Уменьшает обьем
системной памяти на 1К. Перехватывает прерывание 13. Имеет
вырожденный хвост, состоящий только из оригинального бутсектора.
На зараженной дискете хвост расположен по адресу 1/39/9, т.е. в
последнем секторе дискеты. Зараженный бутсектор не содержит
стандартных текстовых сообщений, однако в самом конце имееется
строка "Non-system..." На большинстве клонов вирус выдает через
случайный интервал времени сообщение
"Red State, Germ Offensive.
AIRCOP." однако на некоторых вместо выдачи сообщения выдается
сообщение о переполнении стека и система зависает.
Исторические сведения. Вирус обнаружен в июле 1990 г. в
Вашингтоне (США) и имеет тайванское происхождение.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления можно использовать команду SYS.
8.2.3. Вирус Korea
Заражает только 360К пятидюймовые дискеты. Имеет вырожденный
хвост, состоящий только из оригинального бутсектора и записываемый
в 11 сектор дискеты (последний сектор FAT). При этом возможно
поврежедние части FAT. Других проявлений не имеет.
Исторические сведения. Вирус обнаружен в марте 1990 г. в Сеуле
(Южная Корея) и, по-видимому, разработан там же.
Методы обнаружения и средства защиты. Детектируется Scan (версии
66+), Для удаления можно использовать команду SYS.
8.2.4. Вирус Ohio
Заражает только 360К пятидюймовые дискеты. По видимому данный
вирус можно рассматривать как раннюю версию вируса Den Zuk.
Дискета, зараженная вирусом Ohio иммунизирована к заражению
вирусом Brain. В теле вируса имеются строки:
