"V I R U S
b y
The Hackers
Y C 1 E R P
D E N Z U K 0
Bandung 40254
Indonesia
(C) 1988, The Hackers Team...."
Исторические сведения. Вирус обнаружен в июне 1988 г. в
Индонезии и, по-видимому, разработан там же.
Методы обнаружения и средства защиты. Детектируется Scan
(версии 66+). Для удаления можно использовать команду SYS.
8.3. Ископаемые бутовые вирусы
8.3.1. Вирус Alameda (Аламеда)
Вирус Alameda, подобно вирусу M-05 (Stoned), имеет вырожденный
хвост, который размещается на последнем треке дискеты по адресу
39/8/0. При этом этот кластер не отмечается как сбойный, оставаясь
доступным для распределения. Поэтому в случае перезаписи
содержимого этого кластера перезагрузка системы становится
невозможной. После загрузки вирус уменьшает доступную память на 1
К.
Отличительной особенностью данного вируса является то, что он
перехватывает прерывание от клавиатуры, что позволяет этому вирусу
"выживать" теплую перезагрузку (с помощью Ctrl-Alt-Del). Более
того данный вирус размножается не путем заражения всех дискет к
которым идет обращение, а только дискет, которые расположены в
дисководе в момент нажатия CTL-ALT-DEL. Заражаются только
пятидюймовые дискеты 360К.
Оригинальная версия вируса не содержала кода, ориентированного
на нанесение какого-либо ущерба, однако как любой вирус вызывала
ряд побочных эффектов. В частности, на некоторые машинах
зараженных этим вирусом нельзя запустить отдельные программы или
драйверы. В настоящее время известны штаммы, разрушающие бутсектор
дискет (штамм Alameda-C). Кроме того оригинальная версия
работоспособна только на PC XT, поскольку содержит команды,
отсутствующие в микропроцессоре 80286 и 80386. Более поздние
версии размножаются и на PC AT.
Исторические замечания. Один из первых бутовых вирусов. Впервые
обнаружен в США в 1988 году в Merritt College, Oakland,
California. По мнению сотрудников университета вирус написан
студентом из колледжа Peralta community college, входящим в данный
округ. В СССР не отмечался. Приводимые данные базируются на списке
П.Хоффман и статьях Макафи и Гринберга [200-201,131].
Неформальные названия. Merritt, Peking, Seoul, Yale.
Методы обнаружения и средства защиты. Данный вирус
диагностируется полидетектором SCAN.
8.3.2. Вирус Chaos (Хаос)
Неформальное название данного вируса связано с тем, что в теле
вируса имеются текстовые строки "Welcome to the New Dungeon",
"Chaos" и "Letz be cool guys". Формально данный вирус является
бутовым вирусом, заражающим как дискеты, так и винчестер. при
заражении перезаписывает оригинальный бутсектор не копируя его в
новое место.
Стадия проявления заключается в пометке всех свободных кластеров
как сбойные. Условия наступления стадии проявления неизвестны.
Исторические замечания. Обнаружен в декабре 1989 г. в Англии.
Джеймсом Беррри (James Berry). В СССР не отмечался. Приводимые
данные базируются на списке П.Хоффман.
Неформальные названия. Merritt, Peking, Seoul, Yale
Методы обнаружения и средства защиты. Данный вирус
диагностируется полидетектором SCAN.
8.4. Мифические бутовые вирусы
8.4.1. Вирус Bxxx (Boot Killer - бут-киллер)
Данный вирус при каждой активизации переводит часть имеющихся
свободных кластеров в потерянные и тем самым уменьшает размер
доступного дискового пространства. Это пространство, естественно,
становится недоступным, если не использовать утилиту CHKDSK с
последующим удалением всех файлов с расширением CHK.
Вторым эффектом является форматизация первого трека диска.
Исторические замечания. Данный вирус был описан в статье [ ],
опубликованной в 1988 г. опубликованной в 1988 г.
9. НЕКОТОРЫЕ СЕТЕВЫЕ ВИРУСЫ
Сетевые вирусы более точно называть не вирусами, а
репликаторами, поскольку они не заражают выполняемые программы, а
просто распространяются по сети от одной ЭВМ к другой. Буквальный
перевод соответствующего англоязычного термина Worm - червяк
представляется менее удачным, чем предлагаемый термин репликатор.
В свою очередь репликатор, подобно кассетной боеголовке, может
переносить с собой троянских коней и обычные вирусы. К счастью,
два наиболее известных случая создания таких вирусов не связаны с
потерей или разрушением данных.
9.1. Вирус Christmas Tree (Рождественская елка)
Рассматриваемый вирус появился в конце декабря 1987 г. в
западноевропейской сети EARN (European Academic Research Network)
и связанной с ней американской сети BitNet. Его название связано с
тем, что он рисовал на экране дисплея новогоднюю елку и затем
рассылал себя по всем адресам, найденным на зараженной машине.
Программа распространялась по сети с помощью электронной почты.
Вирус был написан на языке управления заданиями REXX операционной
системы VM/CMS. Фактически это единственный известный вирус,
написанный на языке управления заданиями, и этот факт
свидетельствует о мощности и гибкости REXX - несомненно лучшего из
множества языков управления заданиями для машин системы 360/370.
Автором программы был студент университета Clausthal-Zellerfeld
(ФРГ), который утверждал, что просто хотел поздравить своих
приятелей и не представлял, что университетская сеть подсоединена
к EARN. Поскольку программа распространялась в виде исходного
текста, автор предпринял определенные меры по маскировке,
продемонстрировав неплохое понимание человеческой психологии. В
частности, в начале программы стояли "соблазнительные"
комментарии:
/**********************/ /****************************/
/* LET THIS EXEC */ /* ЗАПУСТИТЕ ЭТОТ */
/* */ /* */
/* RUN */ /* EXEC-ФАЙЛ */
/* */ /* */
/* AND */ /* И */
/* */ /* */
/* ENJOY */ /* РАЗВЛЕКИТЕСЬ */
/* */ /* */
/* YOURSELF */ /* */
/**********************/ /****************************/
За ними следовал фрагмент, состоящий из стилизованного рисунка
новогодней елки и поздравления "Счастливого Рождества и наилучшие
пожелания на следующий год", который, естественно, также не
вызывал особых подозрений:
'VMFCLEAR'
SAY ' * '
SAY ' * '
SAY ' *** '
SAY ' ***** '
SAY ' ******* '
SAY ' ********* '
SAY ' ************* A'
SAY ' ******* '
SAY ' *********** VERY'
SAY ' *************** '
SAY ' ******************* HAPPY'
SAY ' *********** '
SAY ' *************** CHRISTMAS'
SAY ' ******************* '
SAY ' *********************** AND'
SAY ' *************** '
SAY ' ******************* BEST WISHES'
SAY ' *********************** '
SAY ' *************************** FOR THE NEXT'
SAY ' ****** '
SAY ' ****** YEAR'
SAY ' ****** '
Для тех, кто еще сомневался, запускать ли программу или
посмотреть текст до конца, далее следовал еще один комментарий,
содержавший "ненавязчивый" совет о том, что "просмотр этого файла
совсем не интересен, просто наберите команду CHRISTMAS и
посмотрите, что получится":
/* browsing this file is no fun at all
just type CHRISTMAS from cms */
И только после этого шел непосредственно текст репликатора,
лишенный, естественно, каких-то коммментариев.
Из ЕARN вирус, в процессе рассылки по обнаруженным им адресам,
попал в американскую сеть Bitnet. В свою очередь, сеть Bitnet
имеет связь с внутренней сетью компании IBM - Vnet. В этой сети
репликатор размножался особенно успешно, поскольку сеть состоит в
основном из машин и программного обеспечения фирмы IBM. Большие
списки рассылки у многих пользователей этой сети привели к ее
перегрузке и она была выключена. В течение двух дней, пока сеть
была выключена, вся электронная почта фирмы "отлеживалась". Фирмой
IBM были выполнены модификации сети, затрудняющие повторение
подобных инцидентов.
9.2. Вирус Морриса
Название данного вируса связано с тем, что его автором является
Роберт Моррис младший (Robert Morris), аспирант факультета
информатики Корнельского Университета (США). 2.10.88 он запустил
вирус в американскую национальную сеть Internet, ивинфицировав
большое количество компьютеров, подключенных к сети. Internet
объединяет машины университетских центров, частных фирм и
правительственных агенств, включая Национальное управление по
аэронавтике и исследованию космического пространства, а также
некоторые военные НИИ и лаборатории. Поскольку при
программировании автор допустил ошибку, вызвавшую превышение
скорости размножения и распространения по сравнению с задуманной,
вирус был достаточно быстро (в течении нескольких частов)
обнаружен. Тем не менее он успел заражить в общей сложности
порядка 6000 компьютеров из порядка 60000, подключенных к сети.
Вирус Морриса заражал только компьютеры типа SUN 3 и VAX,
которые использовали варианты ОС UNIX версии 4 BSD. В процессе
работы вирус оставлял необычные файлы в каталоге /usr/tmp на
некоторых машинах и странные сообщения в log-файлах некоторых
утилит, в частности, управляющей почтой утилиты SendMail. Для
своего распространения вирус использовал некоторые дефекты
стандартного программного обеспечения, установленного на многих
эксплуатирующих UNIX системах. Он также использовал механизм,
предназначенный для облегчения использования ресурсов удаленным
компьютерам для проведения вычислений, позволяющий запускать
задачу на удаленной машине. Вирус состоял из двух частей: главной
программы и программы, обеспечивающей его распространение. Главная
программа после запуска на очередной машине собирала информацию
относительно других машин в сети, с которыми данная ЭВМ имеет
связь. Она выполняла эту работу с помощью анализа конфигурационных
файлов и путем прогона системной утилиты, которая дает информацию
о текущем состоянии соединений в сети. Затем она использует
определенные недостатки программного обеспечения для пересылки
себя на другие машины.
Пересылка выполнялась специальной частью вируса, называемой
модулем распространения. Этот модуль представляет собой исходный
текст программы, состоящей из 99 строк на языке С, которые должны
быть откомпилированы и выполнены на удаленной машине. Для этого
исходный текст должен быть сначала передан очередной жертве
(используя способ, кратко описываемый ниже), а затем
откомпилирован и выполнен с тремя аргументами: сетевой адрес
инфицирующей машины (т.е. ЭВМ, с которой происходит заражение),
количество сетевых портов, которые нужно соединить с этой машиной
