Вирус C-257 (Kemerovo-Reset - Кемеровская перезагрузка)
🕛 12.02.2009, 17:20
Неформальное название связано с тем, что, подобно вирусу С-648, данный вирус, наряду с заражением файлов, вызывает перезагрузку операционной системы.Формально С-257 - это файловый нерезидентный вирус, заражающий файлы с расширением COM в текущем оглавлении. Заражает командный процессор.
Заражает COM-файлы текущего оглавления длиной до 64767 (FCFFh) байтов при запуске инфицированной программы. Файлы заражаются однократно. Копирует себя в конец файла и изменяет его первые 4 байта ( XCHG AX,DX; JMP Virus_Start). Длина файлов при заражении увеличивается на 257 байтов.
Вирус имеет ряд проявлений. Во-первых, в зараженных программах портится дата создания файла. Во-вторых, при некоторых значениях текущего времени запуск зараженной программы ведет к перезагрузке компьютера. Вирус не блокирует сообщения о защите от записи. Зараженные программы теряют способность обрабатывать параметры.
Код вируса достаточно примитивен и содержит много ошибок и неточностей. В частности, вирус не закрывает открываемые файлы (по одному на заражаемую программу). При этом открыть их может очень много (в зависимости от количества файлов в текущем каталоге). При просмотре дампа зараженной программы видна текстовая строка "*.COM".
Исторические сведения. Происхождение неизвестно. Обнаружен летом 1990 г. в Кемерово Е.Н.Сусликовым. Автору передан Д.Н.Лозинским.
Неформальные названия. Помимо приведенного выше, неизвестны.
Методы и средства защиты. Полифаги SOS, Aidstest. Полидетектор Scan (версии до 77, включительно) данный вирус не детектирует. Детектирование можно выполнять по сигнатурам, приведенным в прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-257
000: 92E81500D8A10800 8B1E0A00891E0800 .
010: A30A00B8004CCD21 125BE800005A5289 ..L.!.[...ZR.
020: D681C6C10089D82D 040089C7B90400A4 .-..
... .. .. .. .. .. .. .. .. . . . . . . . . 0C0:
B80242CD2172D15A 5283EA04B90001B4 ..B.!r.ZR.
0D0: 40CD21CC139090E9 3B1092E81500B840 @.!..;...@
0E0: 008E2A2E434F4D00 B43ECD21B42CCD21 ..*.COM..>.!.,.!
0F0: 80FA0A7DE2909090 90909090909090EA ...}...
100: 0000FFFF00000000 0000000000000000 .
110: 0000000000000000 00 ...