Вирус RCE-1636 (Sunday - Воскресенье)
🕛 12.02.2009, 17:56
Данный штамм получил название Sunday - воскресенье, поскольку в этот день недели вирус удаляет все запускаемые файлы. Формально вирус RСЕ-1636 является резидентным файловым вирусом, поражающим как СОМ-файлы, так и ЕХЕ-файлы. Вирус не проверяет версию MS DOS, на которой функционирует. Работоспособен на версиях, начиная с 2.0 как на PC XT, так и на PC AT.При выполнении зараженной программы вирус вначале проверяет наличие своей копии в памяти компьютера аналогично тому, как это делает вирус RCE-1813. Затем вирус инсталлируется и перехватывает прерывания 21h и 8. Механизм размножения вируса стандартен - перехват прерывания 21h (функции 4Bh) и заражение каждой подходящей запускаемой на выполнение программы, за исключением файла с именем COMMAND.COM. Ограничений на длину файлов нет, поэтому вирус уничтожает COM-файлы, длина которых после заражения превысит 64K.
Файлы типа СОМ поражаются данным вирусом однократно, при этом дата их создания не меняется, а длина увеличивается на 1636 байтов. В инфицированной программе тело вируса размещается в начале файла. Со смещением 184h от начала зараженного файла расположена текстовая строка COMMAND.COM, а со смещением 351h - текст сообщения, выдаваемого вирусом на экран:
Today is SunDay! Why do you work so hard? All work and no play make you a dull boy! Come on ! Let's go out and have some fun! (Сегодня воскресенье! Зачем работать так напряженно? Постоянная работа без игр делает Вас занудой ! Пошли ! Давай выйдем из дому и развлечемся !)
В конец зараженного СОМ-файла записывается пятибайтовое поле (обычно это поле содержит C8h, F7h, E1h, EEh, E7h, однако возможны штаммы с другим содержанием). Указанное поле используется вирусом как признак зараженности COM-файлов.
EXE-файлы заражаются однократно. Контроль зараженности по тому же пятибайтовому полю. При заражении EXE-файлов вирус дописывает свое тело в конец программы и исправляет заголовок EXE-файла, запоминая некоторые поля. Как и RCE-1813, вирус записывает вместо контрольной суммы число "1984". При этом оригинальное значение контрольной суммы теряется. В конец зараженного файла дописываются упомянутые выше 5 байтов.
Как уже указывалось, данный вирус имеет стадию проявления, наступающую в воскресенье. В этот день вирус не заражает собой все запускаемые файлы, а, как и RCE-1813, удаляет их с диска. Перехватывая прерывание от таймера (прерывание 8), вирус отсчитывает один час от начала режима удаления запускаемых файлов и выводит приведенное выше сообщение. Вирус имеет несколько штаммов, в одном из которых в этом месте допущена ошибка и данная ветвь кода никогда не выполняется. Аналогично вирусу RCE-1813, возможна запись вируса в середину "расширенных" EXE-файлов.
Исторические сведения. Вирус RСE-1636 появился в конце 1988 - начале 1989 г. в США. В СССР обнаружен в марте 1990 г. в Ленинграде и Киеве, а чуть позднее в Москве. Первым отечественным полифагом для данного вируса был, по-видимому, Aidstest (версии, начиная с апреля 1990 г.). Анализ кода позволяет предположить, что автор использовал в качестве основы для его написания вирус RCE-1813.
Неформальные названия. Помимо приведенных в заголовке неизвестны. Полидетектор Scan называет данный штамм "Sunday Virus [Sunday]".
Методы и средства защиты. Зараженность файла легко определяется путем визуального просмотра дампа. Для входного контроля можно применять полидетектор Scan. Рекомендуемые полифаги приведены в прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1636
000: E992000131C8F7E1 EEE70001F51E0000 .1..
010: 002200AA00DF0F60 02FD125605C61090 ."..`...V.
020: 7E00000000000000 0000000000004506 ~.E.
030: 10E02B8000000080 00E02B5C00E02B6C ..+.+\..+l
040: 00E01B80006C3E12 00D33900F006004D ..l>...9.M
050: 5AC4017500000020 003906FFFF160E5D Z..u... .9..]
060: 068419C400160E1E 000000909090CD20 ...
070: 050020008814A579 0002100060E30000 .. .y.`...
080: B9412A9B434F4D4D 414E442E434F4D01 .A*.COMMAND.COM.
090: 0000000000
+- начало инсталлятора | |FCB4FF CD2180FCFF731580 ...!...s..
0A0: FC047210B4DDBF00 01BE5F0603F72E8B ..r._..
0B0: 4D11CD218CC80510 008ED0BC5D0650B8 M..!..].P.
0C0: C40050CBFC062E8C 0631002E8C063900 ..P...1.9.
... .. .. .. .. .. .. .. .. .. .. . . . . . . . .
240: 1F00907E5E5B582E FF0E1F002EFF2E13 ...~^[X...
250: 00546F6461792069 732053756E446179 .Today is SunDay
260: 212057687920646F 20796F7520776F72 ! Why do you wor
270: 6B20736F20686172 643F0A0D416C6C20 k so hard?..All
280: 20776F726B20616E 64206E6F20706C61 work and no pla
290: 79206D616B652079 6F7520612064756C y make you a dul
2A0: 6C20626F79210A0D 436F6D65206F6E20 l boy!..Come on
2B0: 21204C6574277320 676F206F75742061 ! Let's go out a
2C0: 6E64206861766520 736F6D652066756E nd have some fun
2D0: 21249C80FCFF7505 B800049DCF80FCDD !$.u...
2E0: 740E3D004B7503EB 35909D2EFF2E1700 t.=.Ku..5.
... .. .. .. .. .. .. .. .. .. .. . . . . . . . .
5F0: 9D2EFF2E1700FC03 0000000000000000 .
600: 0000000000000000 0000000000000000 .
610: 0000000000000000 0000000000000000 .
620: 0000000000000000 00002C0825460008 .,.%F..
630: 250825C60716026C 1540003CFC04000D %.%.l.@.<.
640: C97E9300010702D4 00F51E55C8556CFE .~...U.Ul.
650: B98B00803EEB54A2 4C80003E00435690 .>.T.L..>.CV.
660: 9090909090909090 9090909090909090 .
670: 9090909090909090 90909090909090CD .
680: 20C8F7E1EEE7 ... +-+ +- признак зараженности файла