Нерезидентные файловые вирусы, обнаруженные в СССР
🕛 12.02.2009, 08:17
Ниже приводятся описания нерезидентных файловых вирусов, изученных автором на момент выхода данной работы. В целях систематизации описываемые вирусы разбиты на несколько групп. Как для самих групп, так и для вирусов внутри группы изложение ведется в основном в хронологическом порядке (по появлению в Киеве). Нерезидентные вирусы уступают по распространенности и инфицирующей способности резидентным, однако они проще по структуре, и подробное изучение отдельных вирусов мы начнем именно с них. Данная категория вирусов представляет интерес как база основной массы "студенческих" вирусов, поток которых сейчас захлестывает пользователей нашей страны. Поскольку в данной главе группа, к которой принадлежит тот или иной вирус, ясна из контекста, в кодах вирусов мы расширения приводить не будем.Поскольку во многих случаях зараженность программы можно определить визуально, с помощью просмотра дампа, описания вирусов будем иллюстрировать характерными фрагментами дампов. При этом в качестве заражаемой программы используется специальная макетная программа, состоящая из команды выхода и некоторого (требуемого для того, чтобы вирус заразил эту программу, если в нем предусмотрен контроль минимальной длины) количества пустых операций (NOP), имеющих для данного процессора код 90h. Такие макетные программы, специально рассчитанные на последующее заражение вирусами, будем в дальнейшем называть дрозофилами. Удачно подобранные дрозофилы существенно облегчают изучение вируса, в частности, определение места, куда вирус прячет первые байты. Для этого достаточно поменять первые байты дрозофилы и опять заразить ее вирусом.