Компьютерная вирусология ч. 1
¦ ¦ ¦ ¦ ¦ ¦M ¦31 D2 8B CA CD 21 3D 00 F0 73 ¦При выполнении зараженной программы вирус ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦инсталлируется в память, изменяя транзитную ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦часть COMMAND.COM или присоединясь к блоку ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦памяти, занимаемому COMMAND.COM. Файлы зара-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦жаются при доступе. При выполнении заражен- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ной программы иногда выдается сообщение ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ Shake well before use ! ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦и управление возвращается в MS DOS. Повтор- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ная попытка ведет к успешному выполнению ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦программы ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Anti-Pascal ¦ С-605 ¦AP ¦1¦<¦D ¦Acd Cy Di St2 ¦Болгария: июнь 1990. ¦
¦ (Aнти-Паскаль), ¦ ¦ ! ¦ ¦ ¦DP¦Atr != R & 605 < LenC < 64930 ¦При запуске зараженной программы вирус пыта-¦
¦ 605 ¦ ¦ ¦ ¦ ¦T ¦COMBAKPAS???EXE" /* смещение 0x17 */ ¦ется заразить еще два COM-файла на текущем ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦диске или диске D. Если подходящие два файла¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦не найдены, то вирус проверяет наличие в те-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦кущем каталоге файлов с расширением BAK или ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦PAS. Если таковые существуют, то он записы- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦выет в них собственный код и переименовывает¦
¦ ¦ ¦ ¦ ¦ ¦ ¦в COM или, если соответствующий COM-файл ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦существует, то в EXE. В последнем случае из-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦за ошибки переименование не срабатывает ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*# Do Nothing, ¦RC-608 ¦ ¦1¦ ¦D ¦An Dn Li Km ¦Израиль, октябрь 1989, Uval Tal. ¦
Stupid, ¦RC-583 ? ¦ ¦ ¦ ¦M ¦72 04 50 EB 07 90 B4 4C ¦Остается резидентным, копируя себя начиная ¦
$ 640K COM virus¦ ¦ ¦ ¦ ¦C ¦B9DC01BED02EBF00018CCA8EDABA0098 ¦с адреса 9800:0000. Поэтому рабоспособен ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦только на ПЭВМ с оперативной памятью 640K. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦При выполнении зараженной программы вирус ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ищет в текущем каталоге первый COM-файл и ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦заражает его независимо от того был он уже ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦заражен или нет ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*#$ Icelandic II ¦RE-632 ¦ ¦1¦~¦D ¦Cn Di Itp K1 Za(r) ¦Исландия, июль 1989 ¦
(Исладский II) ¦ ¦ ¦ ¦ ¦I ¦8CDB4B8EDBB04DA20000A103002D8000 ¦Штамм RE-656. В отличие от последнего из- ¦
System Virus ¦ ¦ ¦ ¦ ¦+ ¦A3030003D8438EC333F633FF0E1FB9D007 ¦меняет при заражении дату на дату заражения ¦
(системный вирус)¦ ¦ ¦ ¦ ¦M ¦A3030003D8438EC333F633FF ¦сбрасывает и не восстанавливает атрибут ¦
One In Ten ¦ ¦ ¦ ¦ ¦C ¦30BE0000B82E3A3B04741546E2F9B900 ¦READ ONLY. Свободные кластеры в FAT не отме-¦
(один из десяти) ¦ ¦ ¦ ¦ ¦ ¦ ¦чает как сбойные. Механизм заражения иденти-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦чен механизму RE-656, однако при заражении ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦вирус способен обходить резидентные сторожа ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦типа FluShot+ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦* Vcomm ¦ E-637 # ¦!!!¦2¦<¦D ¦Itp512 ¦Польша, Израиль: декабрь 1989 ¦
¦ ¦ -1074 $?¦ ¦ ¦ ¦M ¦77 02 B9 20 00 B4 4E CD 21 ¦При запуске зараженной программы вирус ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦заражает еще один EXE-файл в текущем ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦каталоге. При заражении файла вирус ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦выполняет экзотическое выравнивание: на ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦границу сектора (до величины, кратной 512), ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦а затем дописывает свое тело в конец файла ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Сведения о проявлениях противоречивы. По ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦данным П.Хоффман вирус перехватывает ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦операции записи на диск и превращает из в ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦операции чтения. По данным фирмы CARMEL ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦вирус модифицирует в оперативной памяти ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦COMMAND.COM так, что команда COPY больше не ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦работает. ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*# Saratoga/ ¦RE-642 ¦ ¦1¦~¦D ¦Cn Itp K1 Mhm Za(r) ¦Исландия, 1988 ¦
Icelandic ¦ -640 ? ¦ ¦ ¦ ¦I ¦8CDB4B8EDBB04DA20000A103002D8000 ¦Копирует себя в конец оперативной памяти ¦
(Саратога/ ¦ ¦ ¦ ¦ ¦+ ¦A3030003D8438EC333F633FF0E1FB9D007 ¦уменьшая размер доступной MS DOS памяти на ¦
Исланский) ¦ ¦ ¦ ¦ ¦M ¦A3030003D8438EC333F633FF ¦2K. Заражает каждую вторую исполняемую про-¦
$ Saratoga ¦ ¦ ¦ ¦ ¦C ¦CB26C6067F03FFB452CD21268B47FE8E ¦грамму. Отмечает один кластер в FAT как ¦
One in Two ¦ ¦ ¦ ¦ ¦ ¦ ¦сбойный Механизм заражения идентичен меха- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦низму RE-656, однако как и RE-632 при зара- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦жении вирус способен обходить резидентные ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦сторожа типа FluShot+. Для маскировки зани-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦маемого блока в оперативной памяти он марки-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦рует его как принадлежащий операционной сис-¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦теме. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*# Lisbon Virus ¦ C-648L ¦ ¦1¦ ¦D ¦Ak Dn Itp K1 Li Sp1 ¦Португалия, ноябрь 1989, Jean Luz. ¦
(Лиссабонский)¦ ¦ ¦ ¦ ¦M1¦8B 44 79 3D 0A 00 72 DE ¦Штамм С-648а,в котором в первые пять байтов ¦
¦ ¦ ¦ ¦ ¦M2¦89 7C 16 90 89 F7 83 C7 1F 90 ¦уничтожаемых программ записывается строка ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦"@AIDS". Вирус очень близок к оригинальному,¦
¦ ¦ ¦ ¦ ¦ ¦ ¦однако команды смещены на два байта с тем, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦чтобы избежать детектирования программами, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦пассчитанными на обнаружение С-648 ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# 651 ¦RCE-0651 ¦ ¦1¦ ¦D ¦An Ds62 Itc Msl Se ¦Болгария, конец 1989 г. ¦
¦ Eddie 3, ¦ ¦ ¦ ¦ ¦DP¦651 < LenC < 64372 ¦Маскирует увеличение длины на зараженной ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦1K ¦машине, вычитая длину для файлов с 62 сек. ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦67 17 E0 26 81 6F 1D 8B 02 26 ¦Уменьшает размер доступной памяти на 1К ¦
¦ ¦ ¦ ¦ ¦T ¦Eddie Lives. ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
*#$ Icelandic ¦RE-656 ¦ ¦1¦.¦D ¦Itp Mm ¦Исландия, июнь 1989 ¦
(Исланский), ¦ -661 ? ¦ ¦ ¦ ¦I ¦26C6067F03FFB452CD212E8C066D022 ¦Копирует себя в конец оперативной памяти ¦
656, ¦ -652 ? ¦ ¦ ¦ ¦+ ¦68B47FE8EC026030603004040 ¦уменьшая размер доступной MS DOS памяти на ¦
One In Ten ¦ ¦ ¦ ¦ ¦C ¦700074053D00F075E926C6067F03FFB4 ¦2K. Если при инсталляции вирус обнаруживает,¦
(один из 10), ¦ ¦ ¦ ¦ ¦ ¦ ¦что прерывание 13 перехвачено, то он не за- ¦
