Информационные технологииStfw.Ru 🔍

Подгруппа музыкальной перезагрузки

🕛 01.03.2009, 11:43
Штаммы, входящие в данную группу, имеют характерную фазу проявления: в зараженной ими системе попытка перезагрузки MS DOS с помощью комбинации нажатий клавиш CTRL-ALT-DEL вызывает в начале звучание мелодии "Янки Дудль Денди". Звучание продолжается примерно 20 с, а затем происходит нормальная перезагрузка системы.
5.3.2.1. Вирус RСE-1805 (ТP-25, Yankee Doodle-19 - Янки дудль-19)

Вирус RСE-1805 является файловым резидентным вирусом, поражающим как файлы типа СОМ, так и файлы типа EXE. Заражение файлов происходит при запуске на выполнение соответствующих программ. Заражает COMMAND.COM. Вирус работоспособен на любой версии MS DOS.

При запуске зараженной программы данный вирус сначала проверяет, имеется ли уже резидентный вирус, по описанной выше схеме, единой для данной группы. При этой проверке возвращается номер версии резидентного вируса, если он есть в оперативной памяти. Если номер версии резидентного вируса меньше, чем номер версии вируса в зараженной программе, или вирус в оперативной памяти отсутствует, то старшая версия вируса из зараженной программы становится резидентной и перехватывает прерывания 09 и 21h.

Заражение выполняется при запуске программы на выполнение. Получив управление по функции 4Bh прерывания 21h, вирус проверяет, является ли запускаемая программа зараженной, и если нет, то заражает данную программу на диске. При этом вирус изменяет первые 14 байтов зараженной программы и дописывает в конце программы собственное тело. Определение зараженности программы основано на считывании последних 8 байтов зараженной программы. Подобно вирусу RC-1701, RCE-1805 не проверяет, загружается ли файл с защищенной дискеты или нет.

Зараженные файлы увеличиваются в размере на 1805-1820 байтов, причем дата их создания и атрибуты остаются неизменными. Заражение выполняется однократно.

Фаза проявления была описана выше. Никаких других несанкционированных действий, кроме проигрывания мелодии при нажатии клавиш CTRL-ALT-DEL, вирус не выполняет.

Резидентная часть вируса обнаруживается путем просмотра списка резидентных программ (с помощью утилит MAP, SMAP, MMAP и т.д.). При этом видна "подозрительная" дополнительная программа, не имеющая ни имени, ни родителя и имеющая размер 1792 байта. При этом в графе "Hooked vectors" не указано ни одного перехваченного прерывания, что, конечно же, не соответствует действительности. Вирус обращается к прерыванию 21h непосредственно, а не с помощью команды INT, что обеспечивает обход простейших фильтров типа VirBlk.

Исторические сведения. Данный вирус был обнаружен в Киеве в июле 1989 г. Одними из первых этот вирус исследовали В.Е.Еременко и Е.Ю.Портной, которые самостоятельно разработали для него фаг в сентябре 1989 г. Первым фагом против данного вируса, распространяемым бесплатно, была вторая версия популярного киевского полифага Vdeath Ю.М.Ревзина, появившаяся примерно в это же время. В настоящее время вирус практически полностью уничтожен.

Методы и средства защиты. Зараженность программы легко определяется при визуальном просмотре дампа по последним байтам файла. Для входного контроля можно использовать полидетектор Scan. Рекомендуемые полифаги приведены в прил.1. Вирус содержит примитивные средства защиты против трассировки и обхода резидентных средств защиты. В частности, попытки записи вируса в запускаемый файл не обнаруживаются ни VirBlk, ни Anti4us2. Фильтр Anti4us2 не срабатывает на попытку вируса стать резидентным. При использовании Advanced Disk Manager вирус не в состоянии попасть в разделы винчестера, для которых установлен статус READ ONLY. Однако при этом блокируется вызов программ. Имеется резидентная вакцина (NeatVac).
Фрагмент дампа дрозофилы, зараженной вирусом RCE-1805

000: E9B5079090909090 9090909090909090 .
010: 9090909090909090 9090909090909090 .
*** Последующие строки идентичны предыдущей ***
400: 4D08007000000000 0000000000000000 M..p...
410: 050EC32B60142602 5605E3281101FB2A ...+`.&.V..(...*
... .. .. .. .. .. .. .. .. . . . . . . . .
490: 0672043412EAF0FF 00F0582EFF2E1C00 .r.4...X..
4A0: 9C3D004B74613D00 C574483D01C57448 .=.Kta=..tH=..tH
4B0: 3D02C5744B3D03C5 740C9D2EFF2E1000 =..tK=..t.
... .. .. .. .. .. .. .. .. . . . . . . . .
5F0: B900008BD18B1E22 00E843FE72E583FA ."..C.r...
600: 0075E03D200076DB 3D1DF09073D5A305 .u.= .v.=...s...
610: 07B80042B900008B D18B1E2200E81FFE ...B.".
620: 72C1BA2D00B90E00 B43FE812FE72B43D r..-..?...r.=
630: 0E0075AF813E2D00 4D5A740B813E2D00 ..u..>-.MZt..>-.
... .. .. .. .. .. .. .. .. . . . . . . . . AA0:
C400DC00C400AE00 A400AE00C400DC00 .
AB0: F600DC00AE00DC00 F6000601DC00C400 .
AC0: 0601F60025010601 0601FFFF19191919 .%..
AD0: 1919191919191919 3232191919191919 ..22...
AE0: 1919191919193232 1A191A1919191919 ...22..
AF0: 1A191A1919191E1A 191A191919191E19 .
B00: 1919193232000493 91F47A1990 ...22..z..

5.3.2.2. Вирус RСE-1760 (ТP-24, Yankee Doodle-18 - Янки дудль-18)

Данный штамм практически не отличается от предыдущего.
Фрагмент дампа программы DUMY.COM, зараженной вирусом RCE-1760

000: E9B8039090909090 9090909090909090 .
010: 9090909090909090 9090909090909090 .
020: 9090909090909090 9090909090909090 .
030: 4D08006D00000000 0000000000000000 M..m...
040: 3903981460146402 56059D10E6049A11 9...`.d.V.
050: 2000050045002100 000000012F909090 ...E.!../...
060: 9090909090909090 909090FF2E10009C .
070: FA2EFF1E1400C353 502E8B1E2200B445 .SP..."..E
080: E8ECFF72098BD8B4 3EE8E3FFEB01F858 ...r.>...X
... .. .. .. .. .. .. .. .. . . . . . . . .
0D0: 9C3D004B74613D00 C574483D01C57448 .=.Kta=..tH=..tH
0E0: 3D02C5744B3D03C5 740C9D2EFF2E1000 =..tK=..t.
0F0: 9DFBF9CA0200B819 002EF6062B000275 ...+..u
... .. .. .. .. .. .. .. .. . . . . . . . .
6C0: 00C4000601F60025 0106010601FFFF19 .%..
6D0: 1919191919191919 1919193232191919 ..22...
6E0: 1919191919191919 1932321A191A1919 ...22..
6F0: 1919191A191A1919 191E1A191A191919 .
700: 191E191919193232 30009391F47A1890 ...220.z.. +-+ сигнатура

Вирусы   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉