Вирус RCE-1339 (ТР-16, Vacsina-10)
🕛 01.03.2009, 11:42
Длина этого вируса составляет 1339 (53Bh) при заражении COM- и 1483 - EXE-файлов. Как и во всех вирусах рассматриваемой подгруппы, заражение EXE-файлов происходит в две стадии. После первой стадии файл удлиняется на 132 байта. Никаких действий, кроме размножения, вирус не выполняет. Заражаются COM-файлы длиной от 1339 (53Bh) до 62601 (F489h) байтов и EXE-файлы длиной до 64947 (FDB3h) байтов при загрузке их в память для выполнения (21h-4Bh). По структуре вирус довольно близок к RCE-1206 (Vacsina-05), однако заражает COM-файлы вне зависимости от первого байта файла (вирус Vacsina-05 заражает только файлы, первый байт которых равен E9h).Фрагмент дампа дрозофилы, зараженной вирусом RCE-1339
000: E94D099090909090 9090909090909090 .M..
010: 9090909090909090 9090909090909090 .
*** Последующие строки идентичны предыдущей ***
540: 4D08005300000000 0000000000000000 M..S...
550: 5C06FD1856059D10 20000500AE002100 \...V... ..!.
560: 9090909090909090 9090909090900056 ...V
570: 414353494E412020 2020000080000000 ACSINA ...
580: 00009C11FB750140 C200460A00000000 ..u.@..F..
590: 0000002020202020 2020202020202020 ...
5A0: 20202020202020E8 00005B508CC00510 ...[P.
5B0: 008B0E0E0103C889 4FFB8B0E160103C8 ..O.
5C0: 894FF78B0E100189 4FF98B0E1401894F .O...O...O
5D0: F58B3E18018B1608 01B104D3E28B0E06 ..>.
... .. .. .. .. .. .. .. .. .. .. . . . . . . . .
A40: 00005BB821258CD2 8EDABACA00CD21B8 ..[.!%..!.
A50: 00008EC026C706C5 007F3926C606C700 .&..9&.
A60: 108CC88ED8B41ABA 5000CD212E8B47FB ..P..!..G.
A70: E92DFF40050301F4 7A10E9 .-.@.z.. +-+ сигнатура