Компьютерная вирусология ч. 1
¦ ¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦Более поздний штамм RС-857 ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦Деструктивные действия отсутствуют. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Использует кодировку инсталлятора для ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦того, чтобы избежать обнаружения простыми ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦детекторами, основанными на контекстном ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦поиске. Известен автор (Patrick Toulme). ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Задуман как демоверсия - заражает файлы ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦только на дискетах. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*$ Oropax ¦RC-2756 ¦ ¦1¦ ¦D ¦Bm Cy Itp51 ¦ФРГ (Гамбург): 02.89 ¦
¦ (Оропакс), ¦ ¦ ¦ ¦ ¦M ¦3E 01 1D F2 77 D1 BA 00 ¦Польша: 1990. ¦
¦ Music Virus ¦ ¦ ¦ ¦ ¦C ¦3E070100744CB42ACD2181F9C307720A ¦Приращение зараженного файла случайно и ¦
¦ (музыкальный) ¦ ¦ ¦ ¦ ¦ ¦ ¦колеблется в диапазоне 2756-2807 байт. ¦
MUZYKANT ¦ ¦ ¦ ¦ ¦ ¦ ¦Обычно приращение равно 2773 байт Заражает ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦файлы при любой дисковой операции (при ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦обращении по функциям 13H, 16H, 17H, 39H, ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦3AH, 3CH, 3DH, 41H, 43H, 46H 21 прерывания ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦используемыми командами COPY,RD,MD,DEL,REN ¦
¦ ¦ ¦ ¦ ¦F ¦MKS_VIR ¦MS DOS). Для заражения ищет COM-файл в ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦главном каталоге текущего диска и его ¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦подкаталогах. На компьютерах типа PC AT ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦после 1.05.87 через 5 минут после ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦инфицирования файла вирус играет 3 разные ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦мелодии с 7 минутным интервалом между ними. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦Длина зараженных файлов всегда кратна 51. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Liberty ¦RCE-2862 ¦ ¦1¦ ¦D ¦Cy Itp Mc Se To ¦Австралия (Сидней): май 1989 ¦
¦ ¦ ¦ ¦ ¦ ¦HR¦21 ¦Проявления неизвестны ¦
¦ ¦ ¦ ¦ ¦ ¦DP¦2K < LenC; 0 < LenE ¦ ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦h 8K ¦ ¦
¦ ¦ ¦ ¦ ¦M ¦E8 FD FE 72 2A 3B C1 7C 27 E8 ¦ ¦
¦ ¦ ¦ ¦ ¦T ¦Liberty ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Taiwan 3 ¦RCE-2900 ¦Ier¦ ¦ ¦D ¦Se To ¦Тайвань: июнь 1990 ¦
¦ ¦ ¦ ¦ ¦ ¦HR¦21 ¦Возможны зависания системы. Другие проявле- ¦
¦ ¦ ¦ ¦ ¦ ¦DR¦L 3152 ¦ния неизвестны. ¦
¦ ¦ ¦ ¦ ¦ ¦M ¦17 0F 32 0A 32 0A 90 0B FB 08 ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*$ 2930, ¦RCE-2930 ¦Ier¦1¦ ¦D ¦ Cn Li Se ¦Испания, октябрь 1989 ¦
¦# Traceback II ¦ ¦ ¦ ¦ ¦M ¦14 8B 4D 16 8B C1 8A CD ¦Pанняя версия вируса RCE-3066 (Traceback) ¦
¦ (Обратное ¦ ¦ ¦ ¦ ¦I ¦E82906E8E005B419CD218884E30 ¦Поведение и проявления практически полностью¦
¦ прослеживаниеII)¦ ¦ ¦ ¦ ¦+ ¦0E8CE048A95E2000E1F7509 ¦совпадают. Код практически идентичен. ¦
¦ Spanish virus ¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦ ¦
¦ (Испанка) ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦# Traceback II-B ¦RCE-2930b ¦Ier¦1¦ ¦D ¦Cy ¦Штамм заражающий COMMAND.COM. После начала ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦падения букв через некоторое время система ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦зависает ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦*# Plastique, ¦RCE-3012 ¦Pla¦ ¦ ¦D ¦Cn Itc-tp Mc Seo ¦Тайвань: июль 1990 ¦
¦ Plastic Bomb, ¦ ¦ ¦ ¦ ¦HR¦21 ¦Помимо размножения других эффектов не отме- ¦
¦ (Пластиковая ¦ ¦ ¦ ¦ ¦DR¦l 3264 ¦но ¦
¦ бомба), ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
¦ Plastique 3012¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
* 3066, ¦RCE-3066 ¦Ier¦1¦ ¦D ¦Bv Cn Li Soc2 ¦октябрь 1988 ¦
# Traceback ¦ ¦ ¦ ¦ ¦M ¦14 8B 4D 16 8B C1 8A CD ¦При выполнении зараж. программы инсталлиру- ¦
(Обратное ¦ ¦ ¦ ¦ ¦I ¦E87106E82806B419CD2189B4510 ¦ется в оперативной памяти и заражает откры- ¦
прослеживание) ¦ ¦ ¦ ¦ ¦+ ¦18184510184088C8C5301 ¦ваемые программы. После 5.12.88 дополнитель-¦
¦ ¦ ¦ ¦ ¦C ¦E87106E82806B419CD2189B451018184 ¦но пытается заразить один файл находя его ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦поиском по дереву, начиная с корневого ката-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦лога. Процесс поиска оканчивается, если по- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦падается уже зараженный файл. После 28.12.88¦
¦ ¦ ¦ ¦ ¦ ¦ ¦каждый час после загрузки создает эффект па-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦дающих букв, аналогичный RC-1701. При нажа- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦тии клавиши в момент падения букв система ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦зависает. Через минуту процесс падения пре- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦кращается и буквы возвращаются на исходные ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦позиции.В теле вируса содержится полный путь¦
¦ ¦ ¦ ¦ ¦ ¦ ¦к предыдущей зараженной программе, что поз- ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦воляет по цепочке выявить все инфицированные¦
¦ ¦ ¦ ¦ ¦F ¦Scan /D v66+ (СП 7-90) /*только удаление*/¦программы. Отсюда и название вируса. ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
¦# Traceback-B ¦RCE-3066b ¦Ier¦ ¦1¦D ¦Cy Li Soc2 ¦Испания: март 1990 ¦
¦ (Обратное ¦ ¦ ¦ ¦ ¦M ¦ ¦Штамм RCE-3066 заражающий COMMAND.COM. ¦
¦ прослеживание) ¦ ¦ ¦ ¦ ¦T ¦MICRODIC MSG ¦Эффект падающих букв отсутствует. Зараженные¦
¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦файлы содержат имя самой зараженной програм-¦
¦ ¦ ¦ ¦ ¦ ¦ ¦мы, а не предыдущей. ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
# Traceback-B2 ¦RCE-3066c ¦Ier¦ ¦1¦M ¦ ¦Испания: май 1990 ¦
(Обратное ¦ ¦ ¦ ¦ ¦T ¦" XPO DAD " ¦Практически совпадает с RCE-3066b, но эффект¦
прослеживание) ¦ ¦ ¦ ¦ ¦ ¦ ¦падающих букв присутствует. Строка ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦"MICRODIC MSG" заменена на " XPO DAD " ¦
ДДДДДДДДДДДДДДДДД†ДДДДДДДДДД†ДДД†Д†Д†ДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДД†ДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
* 3551, ¦ CE-3551 ¦ ¦1¦ ¦D ¦ Cy Itp Mс ¦ ¦
Syslock ¦ ¦ ¦ ¦ ¦I ¦ D1E98AE18AC1 ¦При выполнении инфицированной программы ¦
¦ ¦ ¦ ¦ ¦+ ¦ 3306140031044646E2F25E5958C3 ¦вирус ищет во всех подкаталогах текущего ¦
¦ ¦ ¦ ¦ ¦M ¦ 3306140031044646E2F2 ¦диска очередную жертву и заражет ее. Через ¦
¦ ¦ ¦ ¦ ¦ ¦ ¦случайные промежутки времени выдает ложное ¦
