Вирус C-273 (MSTU - МВТУ)
🕛 12.02.2009, 17:24
Неформальное название связано с содержащейся в теле вируса текстовой строкой. Помимо заражения программ, никаких действий вирус не выполняет. Формально С-273 - это файловый нерезидентный вирус, заражающий файлы с расширением COM в текущем оглавлении. Заражает командный процессор.Контроль длины заражаемых файлов не предусмотрен. Файлы заражаются однократно. Копирует себя в конец файла и изменяет его первые 4 байта (JMP Virus_Start, EBh). В качестве признака заражения используется четвертый байт программы. Для зараженных вирусом программ он равен EBh. Длина файлов при заражении увеличивается на 273 байта.
Вирус содержит характерную для начинающих программировать на ассемблере IBM PC ошибку - некорректно возвращает управление зараженной программе. Это связано с использованием для выхода команды Ret Near вместо команды Ret Far. В результате в стеке после возврата управления остается лишнее слово. Вирус не блокирует сообщения о защите от записи.
Код вируса достаточно примитивен и содержит ряд других ошибок и неточностей. При просмотре дампа зараженной программы видна текстовая строка "Эта программа написанна в МГТУ студентом группы ИУ4" (сохранена орфография автора - Н.Н.Безруков).
Исторические сведения. О происхождении можно судить по приведенной в тексте вируса строке. Обнаружен летом 1990 г. Автору передан Д.Н.Лозинским. Имеются более поздние версии, принадлежащие той же техно-крысе.
Неформальные названия. Помимо приведенного выше, неизвестны.
Методы и средства защиты. Полифаги SOS, Aidstest. Полидетектор Scan данный вирус не детектирует. Детектирование можно выполнять по сигнатурам, приведенным в прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом С-273
000: E90000EB3E902A2E 636F6D00E92D0DBA .>.*.com..-..
010: 9DE2A020AF70AEA3 70A0ACACA020ADA0 Эта программа на
020: AFA8E1A0ADADA020 A2208C83929320E1 писанна в МГТУ с
030: E2E3A4A5ADE2AEAC 20A370E3AFAFEB20 тудентом гpуппы
040: 889334 ИУ4
+- начало тела вируса V BB01018B07 0503008BE8B44E8D ..N.
050: 16030103D5CD2172 02EB03E99700BA9E ...!r..
060: 00B002B43DCD218B F0B43F8BDEB90400 .=.!...?..
070: 8D16090103D5CD21 8D1E090103DD8A47 .!.G
080: 033CEB745BB442B0 00B90000BA00008B .<.t[.B...
... .. .. .. .. .. .. .. .. . . . . . . . .
0C0: 408D0E0D028D1600 012BCA8BD581C200 @..+...
0D0: 01CD21B440B90400 8D16090103D5CD21 ..!.@.!
0E0: 8BDEB43ECD218D16 030103D5B44FCD21 ...>.!.O.!
0F0: 7203E969FF8BC58D 3E0D0203F8BE0001 r..i.>.
100: 8B0589048B450289 4402B800011E50C3 ..E..D..P.
110: E92D0DBA00000000 0000000000000000 .-..