Информационные технологииStfw.Ru 🔍
Stfw.Ru Новости IT

C-345 (Pixel - Пиксель)

🕛 12.02.2009, 15:37
Получив управление, данный вирус переписывает собственное тело в область памяти, отстоящую от области загрузки данной программы на 64К. Это действие может привести к нарушению работы системы в случае наложения копии на резидентные программы. Затем вирус выполняет поиск в текущем подкаталоге файла с расширением COM. Если такой файл обнаружен, то он считывается в память, располагаясь непосредственно за копией вируса (таким образом, вся область памяти практически представляет собой образ зараженной вирусом программы). Если второй и третий байты считанной программы принимают значения 49h и 56h ("IV"), то вирус считает, что данная программа уже заражена. В противном случае в файл, из которого была считана программа, "сбрасывается" область оперативной памяти, начиная с тела вируса. За одно выполнение зараженной программы вирус предпринимает попытку заражения всех файлов в текущем каталоге. Очевидно, что повторный запуск зараженной программы в том же каталоге не вызовет дополнительного заражения, поскольку все COM-файлы в текущем каталоге уже заражены.

При каждом вызове зараженной программы вирус увеличивает значение специального счетчика, а затем выполняет проверку его содержимого. Если значение счетчика равно 5, то вирус считывает значение таймера, и, если оно нечетно, то на экран выводится сообщение:
Program sick error: Call doctor or buy PIXEL for cure description

и выполнение программы блокируется. Это сообщение содержится в теле вируса в незашифрованном виде. Поэтому иногда этот вирус называют PIXEL. После завершения своей работы вирус сдвигает тело программы, вместе с которой он первоначально был загружен в память, на количество байтов, равное длине вируса, и передает управление на начало программы.

Исторические сведения. Исходный текст данного вируса был опубликован в Греции в журнале "Пиксель" ("Pixel"). В СССР попал на вирусной дискете В.Бончева. Первым фагом для данного вируса был, по-видимому, полифаг Д.Н.Лозинского.

Неформальные названия. Распространенным неформальным названием этого вируса является Pixel. Д.Н.Лозинский называет данный вирус IV-345.

Методы и средства защиты. Вирус легко обнаружить по изменению длины и даты создания COM-файлов. Рекомендуемые фаги приведены в прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-345

000: EB3B4956012A2E43 4F4D000000000000 .;IV.*.COM...
010: 0000000000000000 0000000000000000 .
020: 0000000000000000 0000000000000000 .
030: 0000000000000000 0000000000508CC8 .P..
040: 0500108EC0FE0604 01BE000133FFB959 ...3..Y
050: 0190F3A4BA1101B4 1ACD21BA0501B906 .!..
060: 00B44ECD21724BBA 2F01B8023DCD218B ..N.!rK./...=.!.
... .. .. .. .. .. .. .. .. . . . . . . . .
0D0: D801B409CD21CD20 50726F6772616D20 ..!. Program
0E0: 7369636B20657272 6F723A43616C6C20 sick error:Call
0F0: 646F63746F72206F 7220627579205049 doctor or buy PI
100: 58454C20666F7220 6375726520646573 XEL for cure des
110: 6372697074696F6E 0A0D24BE3702B922 cription..$.7.."
120: 0033FFF3A45B2EC7 060B0100002E8C06 .3...[.
130: 0D012EFF2E0B011E 07BE5902BF0001B9 .Y..
140: FFFF2BCEF3A42EC7 06000100012E8C1E ..+.
150: 02018BC32EFF2E00 01B409BA0901CD21 ...!
160: CD20333435205669 7275732033343520 . 345 Virus 345
170: 6279746573202124 bytes !$

Вирусы   Теги:

Читать IT-новости в Telegram
Информационные технологии
ИнтернетМобильникиПрограммыИгрыТехнологииБезопасность
Мы в соцсетях ✉