Информационные технологииStfw.Ru 🔍
Stfw.Ru Новости IT

Вирус C-1004 (Bebe - Бебе)

🕛 12.02.2009, 17:13
Неформальное название данного вируса связано с выдаваемым вирусом на экран сообщением. Идея, лежащая в основе данного вируса, является модификацией, использованной в одном из самых старых вирусов - Cookie (см. ниже).

Формально С-1024 представляет собой простой файловый нерезидентный вирус, заражающий файлы, имеющие расширение COM в текущем каталоге. СОММАND.COM заражается как обычный СОМ-файл.

COM-файлы заражаются однократно. При заражении длина файла не проверяется. Свое тело вирус дописывает в конец файла с выравниванием начала на границу параграфа. В зараженных файлах изменены первые 14 байтов, причем измененные байты содержат группу (PUSH AX; ; JMP FAR Virus_Start;) команд, а не единственную команду JMP, как это бывает обычно. Поэтому зараженная программа всегда начинается со строки "50 0E 8C C8 2E 01 06 0C 01 EA". Выше было отмечено, что первую команду JMP, подставляемую большинством файловых вирусов, дописывающих свое тело в конец COM-файла, можно рассматривать как вырожденный сегмент. В данном случае первые 14 байтов представляют собой настоящий сегмент тела вируса, и фактически мы имеем дело с файловым вирусом, состоящим из двух сегментов.

Длина вируса 1004 (3ECh) байта совпадает с минимальным приращением заражаемых файлов. Файлы с атрибутом READ ONLY не заражаются. Вирус имеет несколько необычную реализацию фазы проявления, создающую иллюзию, что мы имеем дело с резидентным вирусом: при запуске первой зараженной программы он копирует часть своего тела в область векторов прерываний по адресу 0000:01CE и устанавливает на нее прерывание 1Ch (таймер). Тем самым создается резидентная программа, "висящая" на таймере, которая через некоторое время выдает на экран заставку
+- VIRUS ! -+ | Skagi "bebe" > | +-+

переходит в состояние ожидания ввода с клавиатуры. При разработке вируса предполагалось, что, если с клавиатуры вводится слово "bebe", то на экране появляется сообщение "Fig Tebe !". Последнее дает определенное представление об уровне культуры автора, даже если рассматривать это как своего рода юмор. Однако на PC AT программа зацикливается из-за ошибки. В результате после выдачи сообщения компьютер зависает и его приходится перегружать, причем сделать это удается только клавишей RESET.

Уровень программирования в целом невысок. В частности, вирус не восстанавливает DTA, что может привести к зависанию компьютера. Аналогично затирание части таблицы векторов прерываний может приводить к зависанию или нарушению функционирования программ. Помимо приведенных выше строк, образующих заставку и ответ, тело вируса содержит строку "*.COM".

Исторические сведения. Типичный представитель отечественных "студенческих" вирусов. Обнаружен летом 1990 г.

Неформальные названия. Полидетектор Scan (версии до 77 включительно) данный вирус не детектирует.

Методы и средства защиты. Обнаружение тривиально по описанному текстовому сообщению. Детектирование можно выполнять по сигнатуре, приведенной в прил.1. Рекомендуемые полифаги приведены там же.
Фрагмент дампа дрозофилы, зараженной вирусом С-1004

000: 500E8CC82E01060C 01EA580011002400 P...X...$.
... .. .. .. .. .. .. .. .. . . . . . . . .
060: 9000000000000000

начало тела вируса -> 582EA3CC01581E06 M.X.X..
070: 5053515256579C8C C88ED88EC08D360E PSQRVW..6.
080: 0006C43ECA01B90E 00F3A40706B42FCD ...>./.
090: 212E891E2400062E 8F06260007B41A8D !...$..&..
0A0: 162800CD21B44E8D 161E00B93F00CD21 .(..!.N..?..!
0B0: 7303E9D0008D1628 0083C21EB8023DCD s...(...=.
0C0: 21A31C007303E9AF 00B43F8D160E00B9 !...s..?..
0D0: 0E008B1E1C00CD21 7303E993008D360E .!s..6.
0E0: 008D3E0000B90A00 FCF3A67503E98000 ..>..u.
0F0: 8D1E28008B5F1A8A C381C30001B104D3 ..(.._.
100: EB240F3C00740143 891E0C00C7060A00 .$.<.t.C..
110: 5800B8004233C933 D28B1E1C00CD21B4 X...B3.3...!.
120: 408D160000B90E00 8B1E1C00CD218D1E @...!..
130: 28008B571A33C9B8 00428B1E1C00CD21 (..W.3...B..!
... .. .. .. .. .. .. .. .. . . . . . . . .
1B0: 018BFE8D0EEC032B CEFCF3A433DB8EDB .+.3...
1C0: BB70008D06F002FA 8907C747020000FB .p...G.
1D0: 9D5F5E5A595B5807 1FEA0001DD21C9CD ._^ZY[X...!..
1E0: CDCDCDCDCD205649 5255532120CDCDCD .. VIRUS! ...
1F0: CDCDCDBBBA20536B 6167692022626562 .. Skagi "beb
200: 6522203E20202020 20BAC8CDCDCDCDCD e" > .
210: CDCDCDCDCDCDCDCD CDCDCDCDCDCDCDBC .
220: BA20202020204669 6720546562652021 . Fig Tebe !
230: 2020202020BA0000 0000000000000000 ..
240: 0000000000000000 0000000000000000 .
*** последующие строки идентичны предыдущей ***
2B0: 0000000000000000 0000301230121C42 .0.0..B
2C0: 4542450D50B8C800 E6428AC4E642E461 EBE.P.B...B.a
2D0: 0C03E661E80800E4 6124FCE66158C3B9 ...a.a$..aX..
2E0: 74272E8A052E3A05 7500E2F9C3E4608A t'.:.u..`.
... .. .. .. .. .. .. .. .. . . . . . . . .
3D0: 518D362602BF7406 F3A559BF1407F3A5 Q.6&..t...Y..
3E0: 59BFB407F3A55F5E 5A595B58071F2EA3 Y.._^ZY[X.
3F0: EA0358EA00000000 302A0000 ..X..0*..

Вирусы   Теги:

Читать IT-новости в Telegram
Информационные технологии
ИнтернетМобильникиПрограммыИгрыТехнологииБезопасность
Мы в соцсетях ✉