Вирус RСE-1206 (ТР-05, Vacsina-5)
🕛 12.02.2009, 19:03
Данный вирус является наиболее распространенным в подгруппе. Формально вирус RСE-1206 является файловым резидентным вирусом, поражающим как файлы типа СОМ, так и файлы типа EXE. Зараженный COMMAND.COM имеет размер 26509 байтов (если его первоначальный размер был 25307 байтов). Длина вируса составляет 1206 (4B6h) байтов. Заражаются COM-файлы длиной от 1206 (4B6h) до 62867 (F593h) байтов и EXE-файлы длиной до 64947 (FDB3h) байтов при загрузке их в память для выполнения (21h-4Bh).Инсталляция вируса выполняется обычным образом. При выполнении зараженной COM-программы управление командой JMP (Е9h) передается на начало вируса. Первыми командами вирус узнает длину исходного файла и проверяет наличие своей копии в памяти компьютера. Если компьютер не заражен, то вирус копирует всю программу в свободное место в памяти и, таким образом, остается резидентным. Затем вирус перехватывает прерывание 21h. В результате при запуске любой программы вирус получает управление, проверяет, является ли запускаемая программа зараженной, и если нет, то заражает данную программу на диске. Определение зараженности программы основано на считывании последних 3 байтов зараженной программы.
У заражаемого COM-файла вирус проверяет первый байт. Если этот байт не равен E9h (JMP), то файл не заражается. При заражении длина файла увеличивается до значения, кратного параграфу (16 байтов), к файлу добавляются 1206 байтов вируса и изменяются первые 3 байта файла (JMP на тело вируса). При заражении EXE-файла к нему дописываются 132 байта из тела вируса и изменяются первые 3 байта файла (JMP на тело вируса), при этом файл преобразуется в формат COM. Дописанные к файлу 132 байта не распространяют вирус и лишены способности к размножению. Их действие заключается в настройке адресов программы при ее запуске (псевдозагрузчик).
Фаза проявления для данного вируса привязана к моменту заражения файла: при заражении файла раздается звуковой сигнал (BELL).
Резидентная часть вируса обнаруживается путем просмотра списка резидентных программ. При этом видна "подозрительная" дополнительная программа, не имеющая ни имени, ни родителя и имеющая размер 1200 байтов. Являясь резидентным, вирус распознает случаи загрузки программ с защищенных от записи дискет или разделов винчестера и не пытается заражать такие файлы.
При запуске вирус создает на диске скрытый файл, который, по-видимому, никакой функции не выполняет и, возможно, использовался при отладке.
Исторические сведения. По данным B.Бончева, вирус разработан в конце 1988 г. В Москве вирус появился весной 1989 г. В Киеве появился вместе с компьютерами, приобретенными у одного из московских кооперативов в сентябре 1989 г. Из советских авторов вирус RСЕ-1206 впервые, по-видимому, описал О.Г.Котик в документации к полифагу Anti-Kot, который был первым фагом против данного вируса, широко использовавшимся в Киеве.
Неформальные названия. Помимо приведенных выше названий, используется название Sina.
Методы и средства защиты. Зараженность программы легко определяется визуально при просмотре дампа. Рекомендуемые фаги приведены в прил.1. Их же можно использовать и для входного контроля. Вакцина - NeatVac.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1206
100: E9C90A9090909090 9090909090909090 .
110: 9090909090909090 9090909090909090 .
*** Далее следуют строки, идентичные предыдущей ***
810: 9090909090909090 9090909090C31A90 .
820: 4D07004B00000000 0000000000000000 M..K...
830: 60020B105605AB0E 2000050090909090 `...V... .
840: 9090C31A00564143 53494E4120202020 ..VACSINA
850: 0000800000000000 7C1137A80040C200 ..|.7..@..
860: 460A000000000000 0020202020202020 F..
870: 2020202020202020 2020202020E80000 ...
880: 5B508CC00510008B 0E0E0103C8894FFB [P...O.
890: 8B0E160103C8894F F78B0E1001894FF9 .O...O.
... .. .. .. .. .. .. .. .. .. .. . . . . . . . .
8F0: 9C3D004B74069D2E FF2E0000061E5557 .=.Kt...UW
900: 56525153508BECB8 2435CD212E8C0606 VRQSP...$5.!.
910: 002E891E04000E1F BABD00B82425CD21 ...$%.!
920: 0E1FBA1400B40FCD 21B800438E5E0E8B ..!..C.^..
930: 5606CD217303E9DA 012E890E0800B801 V..!s..
940: 4380E1FECD217303 E9C801B8023D8E5E C.!s...=.^
970: 060075142E813E0C 004D5A7503E9B501 ..u...>..MZu.
CA0: 258CD28EDABAC000 CD21B800008EC026 %..!..&
CB0: C706C5007F3926C6 06C700058CC88ED8 ..9&...
CC0: B41ABA5000CD212E 8B47FBE94EFF1F07 ...P..!..G..N...
CD0: 0502F47A0500 ...z.. +-+ сигнатура
Пример карты памяти зараженного компьютера Addr Program Parent Sg Bytes Hooked Vectors
- - - - - (1111) DOS N/A 2 3536
(17E8) DOSEDIT DOS 2 2016 21
(11F9) DOSEDIT DOS 2 2032
(127B) BETA DOS 2 4064
(0007) N/A N/A 1 1200