Классификация бутовых вирусов

🕛 11.02.2009, 12:45

Как и для файловых вирусов, будем выделять группы бутовых вирусов, а для каждого отдельного вируса - классификационный код, дескриптор и сигнатуры.

Группы бутовых вирусов. Большинство распространенныx бутовых вирусoв имеют штаммы, которые можно объединить в группы. Среди наиболее распространенных групп бутовых вирусов отметим следующие:
1. итальянская или группа Ping-pong (расширение PIN). Первым представителем вирусов этой группы был вирус Bx1-1C.PIN, появившийся примерно в конце 1987 г.; 2. пакистанская (расширение BRN). В нее входят вирусы Brain, Ashar. Первым представителем этой группы был вирус Dx3-E9.BRN (Brain-86), разработанный в 1986 г. в Лахоре (Пакистан)); 3. новозеландская (расширение STN). Родоначальником этой группы является один из наиболее распространенных в мире бутовых вирусов - вирус M-05.STN (Stoned); 4. индийская (расширение JSH). Пока в СССР обнаружен один представитель этой группы WM-1F.JSH (Joshy).

Классификационный код бутового вируса состоит из префикса и количественной характеристики.

Префикс. Поскольку все бутовые вирусы являются резидентными, использование символа R в префиксе их классификационного кода нецелесообразно. Наиболее важным свойством бутовых вирусов, сопоставимым по значению с резидентностью файловых вирусов, является спосoбность некоторых бутовых вирусов сохраняться в памяти после "мягкой" пeрезагрузки путем нажатия комбинации клавиш Ctrl-Alt-Del. Это свойство мы будем обозначать буквой W (survive Warm reboot) в префиксе. Все бутовые вирусы заражают дискеты, однако некоторые из них заражают винчестер, а другие нет. Вирусы, инфицирующие только дискеты (Brain, Den Zuk), будем обозначать префиксом D.

При заражении бут-сектора возможны два случая: заражение бут-сектора раздела С винчестера (префикс B) и заражение MBR - исполняемой части таблицы разделов (префикс M). Поскольку одним из наиболее распространенных случаев расположения хвоста бутового вируса является его расположение в псевдосбойных кластерах (что легко определить, просмотрев их содержимое с помощью Norton Utilities), то для таких вирусов в суффикс будем включать букву х, за которой следует количество этих кластеров, например Bx1.

Количественная характеристика бутового вируса. Выбор количественной характеристики для бутовых вирусов имеет определенную специфику: если для файловых вирусов наиболее характерным признаком заражения является увеличение длины файла, то для бутовых вирусов аналогичную роль играет уменьшение размеров оперативной памяти, доступной для MS DOS. Однако, как указывалось выше, важным требованием к выбору свойств вируса, используемых для классификации, является возможность их определения на незараженной машине. Количество блоков памяти, используемых бутовым вирусом, этому критерию не отвечает, поэтому от этой характеристики пришлось отказаться. Было решено использовать другую "доступную для обозрения" характеристику бутового вируса - содержимое зараженного бут-сектора (точнее, первых его байтов). Вместе с тем, анализ объема памяти, сообщаемого MS DOS, является очень полезным диагностическим приемом, и при подозрении на заражение тем или иным вирусом вызов программы CHKDSK, сообщающей это значение (а также ряд других полезных сведений, включая объем памяти, занятый на диске сбойными кластерами), целесообразно вставлять в файл AUTOEXEC.BAT.

В качестве характеристики выбрано значение второго байта зараженного бут-сектора, поскольку его содержимое различно для известных автору бутовых вирусов. В то же время содержимое этого байта записывается в 16-ричной системе счисления, что создает определенную несогласованность с характеристикой файловых вирусов, являющейся десятичным числом. Именно поэтому в предлагаемом варианте классификационного кода вируса прeфикс и характеристика разделяются знаком "-" (минус).

Следует еще раз подчеркнуть, что просматривать содержимое бут-сектора следует только, предварительно загрузившись с защищенной от записи резервной дискеты с операционной системой и требуемыми антивирусными программами, поскольку сама операция просмотра на зараженной машине может либо перехватываться вирусом для подстановки "чистого" бут-сектора (так, например, маскируется вирус Dx3-E9.BRN (Brain), либо, что еще хуже, служить триггером для каких-то несанкционированных действий. Следует использовать так называемую "холодную" перезагрузку (с помощью клавиши RESET, если она есть, или путем выключения питания, если ее нет), а не "теплую" перезагрузку (нажатием клавиш CTRL-ALT-DEL). Это требование основано на том факте, что ряд бутовых вирусов перехватывает прерывание от клавиатуры и при "теплой" перезагрузке сохраняет себя в памяти, даже если перезагрузка идет с защищенной системной дискеты.

Дескриптор бутового вируса. Структура дескриптора бутового вируса приведена в прил.2.

Сигнатура бутового вируса. Для бутовых вирусов M-, I- и B-сигнатуры будут использоваться аналогично тому, как это было для файловых вирусов, а J-сигнатура - в несколько измененном виде. В отличие от J-сигнатуры для файловых вирусов, в которой байты, соответствовавшие команде перехода, не учитывались, здесь они будут учитываться. Это связано с тем, что первой командой бут-сектора всегда является команда обхода таблицы параметров диска (см. прил.4), размер которой, в отличие от размера заражаемого файла, не меняется. Поэтому для бутовых вирусов мы преимущественно будем использовать J-сигнатуру, состоящую из первых трех байтов бут-сектора, и лишь при необходимости дополнять ее, начиная с байта, на который выполняется команда перехода.

Для незараженного бут-сектора MS DOS версии 3.3 J-сигнатура равна EB3490h (объектный код команды JMP, служащий для обхода таблицы параметров). Ценность этой эталонной J-сигнатуры состоит в том, что она сравнительно легко запоминается. Поэтому несовпадение первых трех байтов анализируемого бут-сектора с указанной эталонной J-сигнатурой свидетельствует о зараженности бут-сектора (отметим, что совпадение еще ни о чем не говорит).