¦ ¦ ¦ ¦ ¦B ¦F4 7A 2C ¦ ¦
¦ ¦ ¦ ¦ ¦C ¦0125BAF108CD21BA22029C8BC3052609 ¦ ¦
¦ ¦ ¦ ¦ ¦T ¦ "0505050505050505"h ((8)05h) ¦ ¦
¦ ¦ ¦ ¦ ¦F ¦TP48CLS,AIDSTEST, AV, DOCTOR, ANTI-KOT ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*#$ 4096 ¦RCE-04096¦St ¦2¦<¦D ¦An Cp Dy Macfl To Zet ¦Израиль: январь 1990. ОЧЕНЬ ОПАСЕН !!! ¦
¦ 4K, ¦ ¦!!!¦ ¦ ¦DP¦6K < LenC ¦Загружается в старшие адреса,"откусывая" 6K.¦
¦ 100 Years virus¦ ¦ ¦ ¦ ¦H ¦s21 ¦В зараженных файлах к году создания добавле-¦
¦ Century virus, ¦ ¦ ¦ ¦ ¦M1¦33 FF B9 D0 07 B8 20 07 F3 AB BE /* ?? */¦но 100 (команда DIR показывает две последние¦
¦ Frodo, ¦ ¦ ¦ ¦ ¦M2¦FF 76 06 2E 8F 06 B3 12 /* ?? */¦цифры) и их длина возрастает на 4K, хотя при¦
¦ Hiding, ¦ ¦ ¦ ¦ ¦M3¦F6 2E 8F 06 41 12 2E 8F 06 43 /* ?? */¦резидентном вирусе увеличение длины не видно¦
¦ IDF Virus, ¦ ¦ ¦ ¦ ¦B ¦81FC0001770233E48BE8E80000 ¦При заражении иногда не обновляет заголовок ¦
¦ Stealth Virus ¦ ¦ ¦ ¦ ¦C ¦FE3A558BEC50817E0400C0730C2EA147 ¦файла, что вызывает сообщения MS DOS: ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ERROR in EXE File. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Меняет FAT,сращивая файлы (видно по CHKDSK/F¦
¦ ¦ ¦ ¦ ¦ ¦ ¦С 22 сентября 1990 при запуске любого ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦инфицированного файла компьютер зависает. ¦
¦ ¦ ¦ ¦ ¦F ¦ CLEAN v66+ (СП 7-90) ¦Подробнее вирус описан ниже ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДДБДДДДДДДДДБДДДБДБДБДДБДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДБДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
ПРИЛОЖЕНИЕ 1
КЛАССИФИКАЦИОННАЯ ТАБЛИЦА ФАЙЛОВЫХ ВИРУСОВ, ОБНАРУЖЕННЫХ В CCCР
В приводимой ниже таблице собраны сведения о файловых вирусах, обнаруженных в СССР
по состоянию на 12.09.90. Ниже следуют замечания по ее структуре и организации:
1. В графе "Дескрипторы, сигнатуры и фаги для данного вируса" подграфа "Тип" содержит символ D для дескриптора,
символ F для фага, символ M для сигнатуры, используемой полидетектором SCAN (фирма McAfee Associates, США), символ I для
сигнатуры, используемой полидетектором VIRSCAN (фирма IBM), символ B для сигнатур, предлагаемых автором в случаях, когда
M или I сигнатуры неудачны. Cимволом + обозначено продолжение длинных I-сигнатур. Для ТР-вирусов В-сигнатура получена
путем дописывания шестнадцатиричного номера штамма к строке F47A.
2. В дескрипторе файлового вируса отражены следующие свойства:
A - деструктивные действия, выполняемые вирусом:
a (alter) - модификация управляющих блоков файлов
(переименование, внесение изменений в элемент каталога,
или соответствующую цепочку FAT, создание вместо
файла подкаталога и т.д.) или бутсектора;
b (block) - блокирует выполнение запускаемой программы или команды MS DOS;
c (corrupt) - повреждает или искажает файлы данных;
d (delete) - удаляет отдельные загрузочные файлы;
f (format) - выполняет форматирование дисков;
i (ignore) - заменяет операции записи на операции чтения или верификации;
h (hang) - "подвешивает" систему;
k (kill) - повреждает отдельные загрузочные файлы;
р (parallel port) - искажает информацию передаваемую через параллельный порт;
r (reboot) - вызывает внезапную перезагрузку системы;
s (sector destruction) - уничтожает отдельные сектора диска;
v (video effects) - искажает информацию в видеопамяти;
w (write port) - пишет в порты;
x - создает сбойные сектора;
z (zip) - стирает информацию в файлах или на диске,
а также в управляющих таблицах, например в таблице FAT;
В - проявления вируса;
a (abort) - появление запроса Abort, Retry, Ignore при попытке заразить прог-
рамму, расположенную на защищенной от записи дискете:
n (new files) - создает новые файлы;
m (music) - исполняет мелодию или имеет какой-либо другой звуковой эффект;
v (video effects) - создает визуальный эффект(ы);
t (text message) - выдает на экран текстовые сообщения;
s (slow down) - замедление работы компьютера;
С - механизм заражения командного процессора:
y - заражает файл с именем COMMAND.COM;
n - не заражает файл с именем COMMAND.COM;
о - заражает командный процессор не меняя его длины;
s - заражает командный процессор, независимо от его имени
(например, используя информацию из системной переменной COMSPEC);
D - изменение даты и времени создания файла:
i - изменяет дату на дату заражения;
m - изменяет месяц в дате создания файла;
s - изменяет только значение секунд времени создания файла;
s<целое> - изменяет значение секунд времени создания файла на указанное;
r - изменяет дату и время случайным образом;
n - не изменяет дату и время;
E - способ определения типа файла:
e - (extention) - по расширению;
s - (start of program) по содержимому первых двух байтов
(EXE-файлы начинаются с шестнадцатиричного кода 4D5A т.е.
символов MZ);
I - (type of increment and placement of virus body in infected
program) приращение длины файла при заражении: место и тип имплантации
вируса ( для вирусов типа CE соответствующие пары разделяются черточкой)
первая буква пары - тип имплантации:
o - (overwriting) - перезапись начала файла
f - (first block) - запись в первый блок файла с перемещением оригинального первого блока в конец;
h - (head) - запись тела в начало файла со смещением всей
заражаемой программы в область старших адресов;
m - (middle) - в середину файла;
t - (tail) - в конец файла;
b - (biplacement) - двухсегментное размещение (в голову и хвост)
с перенесением начальных байтов в второй сегмент;
c - (COM-twin) - создание COM-файла с тем же именем, что и
заражаемый EXE-файл;
х - неизвестна;
вторая буква пары - тип приращения:
с - постоянное;
p - (padding) изменяется из-за выравнивания на определенную границу (по умолчанию границу параграфа). Если
выравнивание идет на границу, отличную от кратной 16 указывается соответствующее исловое значение, например
p51 означает выравнивание до величины, кратной 16;
v - меняется случайным образом в определенных пределах;
n - отсутствует;
х - неизвестна;
J - обработка первой команды в СОМ-файлах;
n - не обрабатывает;
j - заражает только те COM-файлы, в которых первой командой является команда JMP;
s - не заражает такие файлы, первой командой которых является команда JMP;
К - кратность заражения файла:
<целое число> - заражает файлы указанное число раз;
m - заражает файлы многократно (для вирусов типа CE первая цифра
указывает кратность заражения COM-файлов, а вторая EXE-файлов);
L - длина тела вируса (байт):
<целое число> - длина равна указанному числу в
байтах;
i - длина равна нормированному или постоянному приращению;
M - действия вируса по маскировке своего присутствия в системе и зараженных файлах:
a - (automodification) - автомодификация инсталлятора с целью
затруднить обнаружение детекторами, основанными на контектном поиске;
с - (cipher) - шифровка части программы, исключая часть инсталлятора;
d - (antiDebugging tricks) - защита от трассировки;
e - (enter point) - сохранение точки входа в EXE-программах;
f - (fag) самоизлечивается при попытке просмотра
зараженной программы при резидентном вирусе;
h - (hook) - не обнаруживается сторожами типа FluShot+,
контролирующими состояние векторов прерывания (обычно 13 и 21);
i - (increment) - имплантация тела в программу без увеличения
размеров файла;
j - (jump) - cохранение первого перехода в COM-файлах;
l - (length) - маскировка увеличения длины зараженных файлов,
путем подмены значения соответствующего поля элемента оглавления при
операциях FindFirst и FindNext (21-11h и 21-12h) с предварительным
вычитанием длины вируса. При этом утилиты, которые не используют
указанные функции DOS, работая с каталогами непосредственно (например
Norton Commander), будут показывать увеличенную длину, а команда DIR -
уменьшенную.
m - (memory map) не обнаруживается системными средствами
просмотра списка резидентных программ;
о - (overlay) сегментация тела вируса на несколько подгружаемых
частей;
р - (polyinfection) заражение как файлов, так и исполняемых
системных блоков (бутсектор, MBR);
r - (redirection) - перехват и модификация дисковых операций с
целью скрыть изменения в исполняемых блоках (бутсектор, MBR);
s - (space) - корректировка резидентным вирусом общего обьема
свободной памяти на диске с целью скрыть его изменение в результате
заражения вирусом программ;
t - (text) шифровка текстовых сообщений;
R - (resident) положение в оперативной памяти, реакция на теплую перезагрузку и размер занимаемой памяти
(только для резидентных вирусов):
a - (available) - в неиспользуемой части оперативной памяти (не создавая MCB и не изменяя
обьема свободной оперативной памяти;
l - (low) в младших адресах, после последней загруженной к этому моменту резидентной программы;
b - (buffer) в буферах MS DOS;
h - (high) в старших адресах без изменения общего обьема оперативной памяти;
u - (upper) в старших адресах памяти с соответствующим уменьшением общего обьема
доступной системе оперативной памяти (по типу бутвируса);
t - (TSR) - вирус создает дополнительный MCB, видный в списке резидентных программ как дополнительная
"паразитная" резидентная программа;
v - в области видеопамяти (в адресах за первыми 640K т.е больших А000:0000);
w - (survive Warm reboot) "выживание" при теплой перезагрузке (возможно, в основном, для вирусов
инсталлирующихся по типу u);
<целое> - обьем оперативной памяти, резервируемый вирусом;
S - стратегия заражения:
c - заражает файлы в текущем каталоге;
