Штамм С-623 (Vienna-X)
🕛 12.02.2009, 15:35
Вирус С-623 отличается от C-648 наличием обработки ненормальных окончаний, что обеспечивает подавление сообщений видаWrite protect error writing device <лог.имя.устр.> Abort, Retry, Ignore, Fail?
при попытке записи на защищенную дискету. Кроме того, в уничтожаемые модули записывается переход по адресу C800:0000. Возможно, автор предполагал, что в результате будет выполнена форматизация диска. Уничтоженные модули можно искать по сигнатуре EA000000C8.
Данный штамм содержит подпрограмму обработки ошибок ввода-вывода. Поэтому при попытке заражения программы, расположенной на защищенной дискете, не выдается соответствующего сообщения MS DOS.
Исторические сведения. Передан автору Д.Н.Лозинским. Обнаружен в конце 1989 г.
Методы и средства защиты. См. прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом C-623
000: E9A0009090909090 9090909090909090 .
010: 8000ED251B012100 2000909090E9A000 ...%..!. .
020: 2A2E434F4D001C00 0E04504154483D47 *.COM..PATH=G
030: 3632332E434F4D00 0000202020202020 623.COM...
040: 2020202020202020 2020202020202020
*** последующие строки идентичны предыдущей ***
070: 3F3F3F3F3F3F3F3F 434F4D030700EE02 ????????COM..
080: 00000000201B0121 0010000000473632 . ..!..G62
090: 332E434F4D000000 0000EA000000C856 3.COM.V
0A0: 050E2551BA1001FC 8BF283C60ABF0001 ..%Q...
0B0: B90300F3A48BF2B4 30CD213C007503E9 ..0.!<.u..
0C0: A80106B42FCD2189 1C8C4402B82435CD ./.!...D..$5.
0D0: 21899C8F008C8491 0007B824258BD681 !.$%...
... .. .. .. .. .. .. .. .. . . . . . . . .
230: 8B54068B4C0480E1 E080C91FB80157CD .T..L...W.
240: 21B43ECD21B80143 8B4C08BA1F0003D6 !.>.!..C.L...
250: CD211EB41A8B148E 5C02CD21B824258B .!...\..!.$%.
260: 948F008E9C9100CD 211F5933C033DB33 ..!.Y3.3.3
270: D233F6BF00015733 FFC2FFFFB000CF .3.W3.