¦ ¦ ¦ ¦ ¦ ¦ ¦операционной системы сохраняется. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДДД†ДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДДДБДДДДДДДДБДДДБДБДБДДБДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДБДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
ПРИЛОЖЕНИЕ 2
КЛАССИФИКАЦИОННАЯ ТАБЛИЦА БУТОВЫХ ВИРУСОВ, ОБНАРУЖЕННЫХ В CCCР
В приводимой ниже таблице собраны сведения о бутовых вирусах, обнаруженных в СССР
по состоянию на 12.09.90. Ниже следуют замечания по ее структуре и организации:
1. Бутовые вирусы обычно перехватывают прерывание 13h и поэтому
конфликтуют с драйверами накопителей на гибких дисках, реализующими
нестандартные форматы ( например драйвером 800.COM ). При этом могут
возникать ошибки типа деления на ноль, зависание системы, а также
искажение записываемой на гибкий диск информации. Данное проявление, как
типичное, в классификационой таблице как правило не указано.
2. Символом "*" помечены названия вирусов, выдаваемые
полидетектором Scan при обнаружении М-сигнатур, символом "#" - названия,
используемые в VIRUS INFORMATION SUMMARY LIST, составленном Патрицией М.
Хоффман (Patricia M. Hoffman) а символом "$" - названия, выдаваемые
полидетектором TNTVIRUS (фирмы CARMEL). Символом "+" обозначено
продолжение продолжение длинных I-сигнатур. Символы "hh" в
классификационном коде вируса означают, что сведения о значении второго
байта бутсектора отсутствуют.
3. Для незараженного бутсектора первые три байта бутсектора
(J-сигнатура) равны EB3490h (обьектный код команды JMP, служащий для
обхода таблицы параметров).
4. В дескрипторе boot-вируса отражены следующие свойства:
A - деструктивные действия, выполняемые вирусом:
b (block) - блокирует выполнение запускаемой программы или команды MS DOS;
c (corrupt) - повреждает или искажает файлы данных или отдельные сектора, распределенных MS DOS;
f (format) - выполняет форматирование дисков;
i (ignore) - заменяет операции записи на операции чтения или верификации;
h (hang) - "подвешивает" систему;
р (parallel port) - искажает информацию передаваемую через параллельный порт;
r (reboot) - вызывает внезапную перезагрузку системы;
s (sector destruction) - уничтожает отдельные сектора диска;
v (video effects) - искажает информацию в видеопамяти;
w (write port) - пишет в порты;
x - создает сбойные сектора;
z (zip) - стирает информацию в файлах или на диске,
а также в управляющих таблицах, например в таблице FAT;
В - проявления вируса;
a (abort) - появление запроса Abort, Retry, Ignore при попытке заразить прог-
рамму, расположенную на защищенной от записи дискете;
n (new files) - создает новые файлы;
m (music) - исполняет мелодию или имеет какой-либо другой звуковой эффект;
v (video effects) - создает визуальный эффект(ы);
t (text message) - выдает на экран текстовые сообщения;
s (slow down) - замедление работы компьютера;
L - длины головы и хвоста вируса(байт), разделенные знаком "+".
Если вирус состоит из одной головы, то приводится одна цифра.
N - номер первого несовпадающего байта при сопоставлении
зараженного и нормального секторов начальной загрузки;
S - стратегия заражения:
метод выбора жертвы:
r - при обращении к дискете;
в - при мягкой перезагрузке;
место хранения "хвоста" вируса и оригинальной копии сектора
начальной загрузки). Указывается через черточку в порядке
"расположение на дискете - "расположение на винчестере"(при
совпадении адресов для "винчестера" и дискеты адрес
указывается один раз):
xN - в N кластерах, помеченных вирусом как дефектные;
tl - на последней дорожке дискеты или винчестера;
t<цифра> - на дополнительной дорожке, например t40;
N.N.N - по абсолютному адресу (цилиндр.головка.сектор) на
дискете или "винчестере".
М ("маскировка") - возможность просмотра содержимого зараженного
сектора начальной загрузки при наличии вируса в ОЗУ (т.е. при работе в
зараженной MS DOS):
r - (redirection) при попытке просмотреть голову на диске
резидентный вирус перехватывает соответствующую операцию чтения и
перенаправляет ее на сектор, где хранится "оригинал" бутсектора или MBR
c - тело вируса закодировано;
n - маскировка отсутствует;
R - (resident) положение в оперативной памяти, реакция на теплую перезагрузку и размер занимаемой памяти
a - (available) - в неиспользуемой части оперативной памяти (не создавая MCB и не изменяя
обьема свободной оператвной памяти;
l - (low) в младших адресах, после последней загруженной к этому моменту резидентной программы;
b - (buffer) в буферах MS DOS;
h - (high) в старших адресах без изменения общего обьема оперативной памяти;
u - (upper) в старших адресах памяти с соответствующим уменьшением общего обьема
доступной системе оперативной памяти (по типу бутвируса);
t - (TSR) - вирус создает дополнительный MCB, видный в списке резидентных программ как дополнительная
"паразитная" резидентная программа;
v - в области видеопамяти (адреса, за первыми 640K т.е большие А000:0000);
w - (survive Warm reboot) "выживание" при теплой перезагрузке (возможно, в основном, для вирусов
инсталлирующихся по типу u);
<целое> - обьем оперативной памяти, резервируемый вирусом;
Z - побочные проявления действий вируса:
a - (attr) - изменение атрибутов при заражении файла, например a(r) - снятие атрибута READ ONLY;
b - (boot) - при заражении программ, запускаемых в файле
AUTOEXEC.BAT, возможно зацикливание процесса загрузки;
e - появление ошибок типа деления на нуль, переполнения стека и т.п.;
f -(FAT) - искажения FAT
h - (hang) зависания системы
o - нарушение функционирования программ с оверлейной структурой.
Например, возникновение ошибок при загрузке отдельных фаз оверлейной программы;
r - нарушение работы некоторых резидентных программ вследствие
использования вирусом общих с ними системных прерываний;
t - (twins) сращивание цепочек в FAT;
v - (video) - мерцание монитора или выдача на экран каких-то случайных последовательностей символов;
x - (eXtended) повреждение расширенных EXE-файлов, т.е. таких,
у которых длина, указанная в элементе оглавления больше
длины, указанной в заголовке. При запуске таких программ в
память загружается только то количество байтов, которое
определено в заголовке файла. Оставшаяся область дискового
пространства может использоваться как буфер или как неявный
оверлей.
ПРИЛОЖЕНИЕ 3
Классификационная таблица файловых вирусов, известных только по литературе
ДДДДДДДДДДДДДДДДДВДДДДДДДДДДВДДДВДВДВДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДВДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД¬
¦ ¦ Г ¦Р¦Д¦ Дескриптор, сигнатуры и фаги данного вируса ¦ ¦
Неформальные ¦ Классифи-¦ р ¦а¦иГДДВДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ Страна и дата обнаружения, ¦
названия ¦ кационный¦ у ¦с¦н¦B ¦ ¦ фамилия исследователя обнаружевшего ¦
¦ код ¦ п ¦п¦а¦и ¦ Значение ¦ и изолировавшего вирус (если известны), ¦
¦ вируса ¦ п ¦р¦м¦д ¦ ¦ вызываемые эффекты ¦
¦ ¦ а ¦о¦и¦ ¦ ¦ ¦
¦ ¦ ¦с¦к¦ ¦ ¦ ¦
¦ ¦ ¦т¦а¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*#$ Lehigh ¦ С-0-346, ¦ ¦1¦~¦D ¦Az Bx Cо Di Imn Jn K1 L346 Mn ¦США(Лехайский универсистет): ноябрь 1987, ¦
(Лехайский) ¦ C-20 ¦ ¦ ¦ ¦DP¦Name=COMMAND.COM & Atr != RH ¦Кеннет Ван Вук (Kenneth van Wyk) ¦
¦ ¦ ¦ ¦ ¦M1¦B7 21 02 C3 ¦Ищет файл СOMMAND.COM в корневом каталоге ¦
¦ ¦ ¦ ¦ ¦M2¦5B FF B7 21 02 C3 61 3A ¦текущего диска и заражает его не увел. длину¦
¦ ¦ ¦ ¦ ¦M3¦5E 83 EE 03 8B DE 81 EB 91 01 ¦После четырех размножений уничтожает первые ¦
¦ ¦ ¦ ¦ ¦C ¦505380FC4B740880FC4E7403E977018B ¦20 треков диска. Оригинальная версия увели- ¦
¦ ¦ ¦ ¦ ¦I ¦505380FC4B740880FC4E7403E977018 ¦чивала длину зараженного СOMMAND.COM на 20 ¦
¦ ¦ ¦ ¦ ¦+ ¦BDA807F013A75058A07EB07 ¦байт, изменяя дату. Возможно имеется штамм ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦не увеличивающий длину и не меняющий дату ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*# 382 ¦СE-0-382 ¦ ¦1¦ ¦D ¦Abk Cy Ion Sc Zh ¦июнь 1990, Тайвань ¦
¦ ¦ ¦ ¦ ¦M ¦EB 00 2E C7 06 4B 02 00 00 B4 19 ¦Перезаписывает своим телом первые 382 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦байта заражаемой программы. При запуске за-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦раженной программы происходит зависание сис-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦темы, появляются случайные символы на экра- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦не дисплея, иногда диск начинает непрерывное¦
¦ ¦ ¦ ¦ ¦ ¦ ¦вращение, снимаемое только перезагрузкой. ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ После заражения всех файлов текущем ката-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦логе переименовывает все EXE-файлы в COM ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
