Вирус RCE-02000 (V2000, Anti-Bontchev - Анти-Бончев)
🕛 01.03.2009, 11:45
Вирус RCE-02000 получил свое название в связи с тем, что в теле вируса содержатся две достаточно длинные текстовые строки:1. "Zopy me - I want to travel" (в начале вируса, т.е. сразу после конца зараженной программы). 2. "(c) 1989 by Vesselin Bontchev" (в конце тела вируса, т.е. в последнем блоке зараженного файла).
Вирус вызывает зависание MS DOS при запуске программ, содержащих строку "(c) 1989 by Vesselin Bontchev." В теле вируса имеется также строка "Диана П." (в альтернативной кодировке). Данный вирус является довольно сильно "доработанным" штаммом RCE-1800. Это первый попавший в СССР вирус, маскирующий приращение длины зараженных файлов. Маскировка основана на том, что вирус помечает зараженные файлы, проставляя значение 62 с в дате создания файла, как вирусы венской группы (С-648). Контролируя функции MS DOS типа FindFirst и FindNext, используемые при просмотре оглавления командой DIR, вирус вычитает 2000 из значения поля длины таких элементов оглавления, тем самым маскируя увеличение длины зараженных файлов. Следует отметить, что оболочки типа Norton Commander самостоятельно интерпретируют содержимое секторов с каталогами, не используя указанных выше функций DOS. Для них этот метод маскировки не действует.
Помимо маскировки увеличения длины зараженных файлов, вирус использует ряд недокументированных прерываний, что позволяет обходить слежение за прерываниями 13h и 26h. Зараженные COM-файлы увеличиваются в размере точно на 2000 байтов, причем дата их создания и атрибуты остаются неизменными. Заражение выполняется однократно. При заражении вирус дописывает свое тело в конец файла, вставляя в первые три байта команду перехода на начало вируса. Выравнивание на границу параграфа для COM-файлов не выполняется. Инфицируются COM-файлы длиной от 1959 байтов.
Заражение EXE-файлов характерно тем, что, несмотря на то, что вирус выполняет выравнивание всего тела на границу параграфа, приращение искусственно поддерживается постоянным и равным 2000 байтов. Инфицируются EXE-файлы длиной больше 2000 байтов.
Стадия проявления, как и у вируса RCE-1800, состоит в уничтожении отдельных секторов диска (в них записывается нулевой сектор текущего диска). Если на диске имеются файлы, иммунизированные от вируса C-648 и имеющие длину менее 2000 байтов, то для таких файлов вирус показывает "сумаcшедшее" значение длины (несколько мегабайт).
Исторические сведения. Вирус обнаружен в Москве в апреле 1990 г. Первым данный вирус исследовал Д.Н.Лозинский. Обработка RCE-02000 включена в Aidstest в апреле 1990 г. (начиная с версии 29 от 18.04.90).
Неформальные названия. Полидетектор Scan называет данный вирус "V2000". Кроме приведенных в заголовке, используют еще название Диана П. (в теле вируса содержится строка "Диана П.").
Методы и средства защиты. Зараженность файла видна при просмотре дампа. Для входного контроля можно использовать любой из рекомендованных в прил.1 полифагов в сочетании с полидетектором Scan.
Фрагмент дампа дрозофилы, зараженной вирусом RCE-02000
000: E935089090909090 9090909090909090 .5..
010: 9090909090909090 9090909090909090 .
... .. .. .. .. .. .. .. .. . . . . . . . .
7D0: 909090909090C31A 5A6F7079206D6520 ..Zopy me
7E0: 2D20492077616E74 20746F2074726176 - I want to trav
7F0: 656C000090511381 C6B5078CC383C310 el...Q.
800: 2E035C022E899C96 F82E8B1C2E899C94 ..\.
810: F88CC383C3102E03 5C068ED32E8B6404 ..\..d.
820: EA00000000BF0001 81C6BD07A4A58B26 ...&
830: 060033DB53FF64F5 E800005E81EE6300 ..3.S.d.^..c.
840: FC2EF69489072E81 BCBD074D5A740EFA ..MZt..
850: 8BE681C4C008FB3B 26060073C8500656 .;&..s.P.V
... .. .. .. .. .. .. .. .. . . . . . . . .
F00: 268B0E06002BFFBE 8907ACF2AE750D51 &.+.u.Q
F10: 57B91100F3A65F59 75EDEBE4C6061308 W.._Yu.
F20: 00EBC6E8AAFDB451 CD212BFF8BC74B13 .Q.!+...K.
F30: D88EDB8B4503803D 5A72F43B7D0175A9 .E..=Zr.;}.u.
F40: 438EC33D00107203 B80010B103D3E08B C..=..r...
F50: C8F3ABEB94286329 2031393839206279 ..(c) 1989 by
F60: 2056657373656C69 6E20426F6E746368 Vesselin Bontch
F70: 65762E0080FC0375 0F80FA807305EA59 ev..u.s..Y
F80: EC00F0EA26AF00F0 EA75013E140001A3 .&.u.>.
F90: 1490909090E90201 84A8A0ADA0208F2E . ..
FA0: 00558BECFF76069D .U...v..