Информационные технологииStfw.Ru 🔍

Группа троянизирующих вирусов; вирус RC-488 (Flu-2 - Грипп-2, LoveChild - Внебрачный ребенок)

🕛 09.03.2009, 00:02
Важный класс вирусов связан с особым эффектом поражения программ - троянизацией последних. Исторически первым представителем данной группы можно считать вирус С-648, который превращает некоторые программы в троянские, записывая в начало COM-файла команду перехода на подпрограмму перезагрузки. Рассматриваемый ниже вирус является значительно более коварным и изощренным представителем этой группы.

Неформальное название вируса RC-488 связано с тем, что в теле вируса имеются текстовые строки:
"v2 (c) Flu Systems (R)" ("Грипповые системы") "LoveChild in reward for software sealing". ("Внебрачный ребенок в награду за кражу программ").

Формально RC-488 является файловым резидентным вирусом, заражающим COM-файлы. Длина вируса 488 (1E8h) байтов совпадает с приращением при заражении. Файлы заражаются однократно. Командный процессор заражается как обычный COM-файл.

При заражении COM-файлов вирус дописывает себя в конец, изменяя первые четыре байта. Файлы заражаются при их загрузке в память, при открытии и создании (21-3Ch, 21-3Dh, 21-4Bh и 21-5Bh). При заражении длина файлов не проверяется.

При инсталляции записывает свое тело во вторую половину таблицы векторов прерываний, начиная с адреса 0000:01E0h. Проверяет версию операционной cистемы. Использует специальный способ определения адреса вектора 21h и 13h, ориентированный на версию 3.3 MS DOS. Для получения управления по прерыванию 21h использует сплайсинг. Обработка прерывания 13h сводится к замене адреса его обработчика на первоначальное значение, что "отрубает" сторожа, следящие за этим прерыванием, как, впрочем, и драйверы типа 800, обеспечивающие нестандартные форматы записи на дискеты.

Фаза проявления наступает при определенных значениях счетчика времени. При этом вирус либо уничтожает файлы, либо создает вместо файла подкаталог с таким же именем. Кроме того, вирус может модифицировать COM-файлы таким образом, что их запуск вызовет стирание секторов винчестера (стирается вся информация, расположенная на всех секторах, соответствующих 0-3 головкам записи/чтения).

Исторические сведения. Судя по текстовым строкам, RC-488 имеет зарубежное происхождение, однако в доступной автору версии списка П.Хоффман, датированном 10.10.90, описание этого вируса отсутствует. В СССР появился примерно в августе 1990 г. Автору был передан Е.В.Касперским. B Киеве не отмечался.

Неформальные названия. Помимо приведенных выше, неизвестны.

Методы и средства защиты. Данный вирус относится к числу наиболее опасных вирусов-вандалов, что требует жесткого входного контроля поступающего программного обеспечения. Наличие характерных текстовых строк облегчает визуальное определение зараженности файла путем просмотра дампа. Для входного контроля рекомендуется использовать любые два полифага, из числа рекомендованных в прил.1. Версии полидетектора Scan (до 77 включительно) данный вирус не обнаруживают.
Фрагмент дампа дрозофилы, зараженной вирусом RC-488

000: FBE9F200B402B207 CD21CD2000000000 ...!. .
010: 0000000000000000 0000000000000000 .
*** далее следуют строки, идентичные предыдущей ***
0E0: 7632202863292046 6C75205379737465 v2 (c) Flu Syste
0F0: 6D732028522933C0 8EC0E800005E8BEE ms (R)3...^..
100: BFE001FC26813D76 32744881EE1D00B9 .&.=v2tH..
110: E801F3A4B430CD21 3D031E7527BE7000 ..0.!=..u'.p.
120: 8EDEBEB400BF4C00 A5A5B80312CD2F26 ...L./&
130: 8C1EC803BE6014C6 04EA8C4403C74401 ..`..D..D.
140: CD02EB0F061FBE84 00A5A58C44FEC744 ...D..D
150: FCCD028CC88EC08E D8BF00018BF581C6 .
160: 6E00A5A533C083EF 04FFE790909090FB n...3..
170: E90000B003CFB901 00BA80038BD9B810 .
180: 03CD13FECE79F7B6 03FEC5EBF14C6F76 ..y.Lov
190: 654368696C642069 6E20726577617264 eChild in reward
1A0: 20666F7220736F66 7477617265207365 for software se
1B0: 616C696E672E2EF6 066C0407750A1F5A aling.l..u..Z
1C0: 595B58B441E9FD00 E9EE0088132EFF0E Y[X.A..
1D0: CB027803E9EE002E FF06CB0280FC4075 ..x..@u
1E0: 24578BFA813D4D5A 751A2EF6066C0406 $W...=MZu.l..
... .. .. .. .. .. .. .. .. .. .. . . . . . . . .
2B0: B440CD215BB43ECD 212EC706CB02FFFF .@.![.>.!.
2C0: 1F5A595B58EA6714 0000 .ZY[X.g...

Вирусы   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉