Воронежская подгруппа
🕛 09.03.2009, 00:04
Воронежская подгруппа включает в настоящее время три вируса: RC-529, RC-600 и RCE-1600, разработанные в 1990 г. и, по-видимому, принадлежащие одному (отечественному!) автору (два последних точно, а первый с некоторой долей сомнения).5.9.1.1. Вирус RC-529 (Peterburg - Петербург, Пакость-1)
Формально данный вирус можно отнести к резидентным файловым вирусам, заражающим файлы с расширением COM. Не проверяет версию операционной системы, но использует имя программы, которое заносится в Environment версии MS DOS не ниже 3.0. При запуске зараженной программы инсталлируется, перехватывая прерывание 21h.
Заражает только COM-файлы при их выполнении. Определяет тип программы по расширению имени, из-за чего EXE-программы, имеющие расширение COM, после заражения теряют работоспособность. Работоспособность таких программ восстанавливается после применения соответствующего фага. Подобно остальным вирусам иерусалимской группы, при заражении COM-файлов записывается в начало, переписывая старое начало в конец файла. Уровень программирования выдает начинающего: основная часть логики некритично заимствована из вируса RСE-1813.
Исторические сведения. Впервые обнаружен в Ленинграде весной 1989 г. Автору был передан Д.Н.Лозинским. Первым фагом для данного вируса был, по-видимому, Aidstest. В настоящее время вирус практически полностью уничтожен.
Неформальные названия. Помимо приведенных выше, неизвестны.
Методы и средства защиты. Для входного кон т ро ля можно использовать любой полифаг из числа рекомендованных в прил.1. Для вузов и других учебных заведений можно рекомендовать резидентную поливакцину NeatVac.
Фрагмент дампа дрозофилы, зараженной вирусом RC-529
000: B815CA8B361B01BF 00018B0E1D018B1E .6..
010: 1901CD21FF361F01 C30101D007110247 ...!.6...G
020: 017900C0010400C4 014D001102EA00FB .y.M...
030: 020100FC02010000 0080000E255C000E ...%\..
040: 256C000E25CA01A1 1D0105140190A305 %l..%..
050: 0303061D01050001 A30D038BE0050F00 .
... .. .. .. .. .. .. .. .. . . . . . . . .
1B0: 15B8004233D28BCA CD21720AFEC68B0E ...B3.!r..
1C0: 1D01B440CD21B801 578B0E07038B1609 ...@.!..W.
1D0: 03CD21B43ECD21B8 01438B0E0B038E5E ..!.>.!..C..^
1E0: 028B5600CD212EC5 160103B82425CD21 ..V..!...$%.!
1F0: 8BE55A1F5B5807C3 B003CFC3C35C06FD ..Z.[X.\..
200: 1856059D10250336 0021002000360664 .V...%.6.!. .6.d
210: 0090909090909090 9090909090909090 .
220: 9090909090909090 9090909090909090 .
*** следующие строки идентичны предыдущей ***
8E0: 90 .
5.9.1.2. Вирус RC-600 (Пакость-2)
Данный штамм аналогичен штамму RC-529 и заражает только COM-файлы. Формально вирус RС-600 является резидентным файловым вирусом, поражающим СОМ-файлы. Вирус не проверяет версию MS DOS, на которой функционирует. По-видимому, работоспособен на версиях, начиная с 2.0.
При запуске зараженной программы вирус сразу пытается инсталлироваться в оперативной памяти. Для определения, имеется ли уже в памяти резидентный вирус, используется стандартный для данной группы вирусов механизм: вирус выдает неиспользуемое MS DOS прерывание 21h-ABh, а затем проверяет содержимое регистра AX. Файлы заражаются при загрузке в память для выполнения (прерывание 21h-4Bh).
Заражаются файлы типа СОМ, даже если они имеют расширение ЕХЕ. Дата и время создания зараженного файла не изменяются, а длина увеличивается на 600 байтов. Минимальная длина заражаемых файлов составляет 600 байтов (258h), а максимальная 60 000 байтов (EA60h). Не заражаются файлы, содержащие в первых двух байтах значение, превышающее EF60h, а также файлы с атрибутом READ ONLY. Вирус не заражает процессор COMMAND.COM. Файлы заражаются однократно. В инфицированной программе тело вируса размещается в начале файла. Перехватывает прерывание 21h.
Вирус шифрует часть своего тела (50 байтов, начиная с 16 байта от начала). Первые 600 байтов заражаемой программы (участок, переносимый в конец файла) также шифруются с помощью операции XOR 0BBh и переносятся в конец файла. На их место помещается тело вируса (тоже частично закодированное - 50 байтов, начиная с 17-го - XOR 0DDh).
Фаза проявления у данного вируса отсутствует. При попытке запуска программы из оболочек типа NC на зараженной машине, если COMMAND.COM находится на защищенном от записи диске, происходит "выпадение" в DOS. При попытке заражения файлов, расположенных на защищенной от записи дискете, иногда (не всегда) появляется стандартное сообщение "Abort, Retry...". Это связано с ошибкой в подпрограмме обработки прерывания 24h.
Исторические сведения. По-видимому, вирус имеет отечественное происхождение, поскольку в теле вируса имеется зашифрованная строка "Oleynikoz S., 1990". Вирус RСE-600 появился в СССР в начале 1990 г. Обнаружен А.В.Сессой в Днепропетровске в середине апреля 1990 г. Значительного распространения вирус не получил. Из полифагов, распространяемых бесплатно, первым был, по-видимому, -V Е.В.Касперского (Софтпанорама, т.2, No. 7). В настоящее время вирус практически полностью уничтожен.
Неформальные названия. Помимо приведенного выше, иногда используются названия 600 и Oleynikoz.
Методы и средства защиты. Из-за малого размера и отсутствия характерных строк вирус может быть легко пропущен при визуальном просмотре дампа файла, хотя отсутствие в конце файла текстовых строк (из-за перемещения 600 байтов перекодированного тела зараженной программы) должно настораживать. Для входного контроля рекомендуется использовать любые два полифага, из числа рекомендованных в прил.1. Версии полидетектора Scan (до 77 включительно) данный вирус не обнаруживают. Для вузов и других учебных заведений можно рекомендовать использование резидентной поливакцины NeatVac.
Фрагмент дампа дрозофилы, зараженной вирусом RC-600 (обратите внимание, что байты 90h перекодированы в BBh)
000: BE1001B932008A24 80F4DD882446E2F6 .2..$.$F..
010: 697610FCE08888A8 DE3453DD5115F0DC iv.4S.Q...
020: DD530566DEDDE356 DAF05DDDE354DAD3 .S.f...V..]..T..
030: C266DFDD56DAF05D DD54DA531D62DDDD .f..V..].T.S.b..
040: 63DD00B90008F3A4 8BD0EB2E90FB80FC c...
050: AB7504B85555CF50 FEC43D004C587515 .u..UU.P..=.LXu.
060: 9C50535152565706 1EE99E001F075F5E .PSQRVW._^
... .. .. .. .. .. .. .. .. . . . . . . . .
240: 0300E927FEB8003E CD218B1EF0018E06 ...'...>.!...
250: F201B82425CD21C3 3820818089928E82 ...$%.!.8 ...
260: 0290BB05AEBA9531 AF0FB9769AFD594D .1...v..YM
270: 01BBBB769BB1B626 2935299B2F3B3230 ...v...&)5)./;20
280: 9B2A353F3E2B3D33 299B39332B282A9B .*5?>+=3).93+(*.
290: ED8D8B8B9B9B9B93 E9F89B8D8B8B929A .
2A0: BBBBBBBBBBBBBBBB BBBBBBBBBBBBBBBB .
*** последующие строки идентичны предыдущей ***
4A0: 3F3033363B9B2C33 2A293538359B2F3B ?036;.,3*)585./;
4B0: 32303B9B969B8D8B 20;..
5.9.1.3. Вирус RC-1600 (Voronezh 2.01 - Воронеж 2.01, Пакость-3)
Последний и наиболее сложный из рассматриваемой подгруппы. Неформальное название связано с наличием в теле вируса соответствующей текстовой строки. Формально представляет собой резидентный файловый вирус, заражающий COM- и EXE-файлы. С сожалением приходится констатировать, что в данном вирусе реализована идея, неосторожно высказанная Д.Н.Лозинским в документации к полифагу Aidstest (AIDSREAD.ME): с целью затруднить обнаружение обычными фагами, вирус не меняет точку входа в EXE-файле, изменяя Relocation table.
При заражении EXE-файлов тело вируса дописывается в конец заражаемой программы. Файлы заражаются не только при запуске программ на исполнение, но и при открытии файлов.
Уровень программирования создает противоречивое впечатление. Имеется ряд признаков, позволяющих говорить о близости "почерка", которым написаны данный вирус и вирус RC-600.
Исторические сведения. Обнаружен в Воронеже в июне 1990 г. А.Н.Мартемьяновым. Автору передан Д.Н.Лозинским. Из полифагов, распространяющихся бесплатно, первым его включил Е.Сусликов в полифаг К32 (ранняя версия полифага SOS).
Неформальные названия. Помимо приведенных выше иногда используется название 1600.
Методы и средства защиты. Для вузов и других учебных заведений можно рекомендовать резидентную поливакцину NeatVac. Для борьбы с вирусом годятся имеющиеся контекстные детекторы и резидентные программы. В качестве фага можно рекомендовать SOS.
Фрагмент дампа вируса RC-1600
000: 8CD80E1F50E80000 5B81EB080153B4AB .P...[.S..
... .. .. .. .. .. .. .. .. . . . . . . . .
170: FC8A0434BB880546 47E2F6B800015B50 ...4...FG..[P
180: C3F7854006CC7DE5 1145584565786555 ...@..}..EXEexeU
190: 767F637473717560 566F726F6E657A68 v.ctsqu`Voronezh
1A0: 2C3139393020322E 3031B430CD213C00 ,1990 2.01.0.!<.
1B0: 0100081A00110300 000000002A390000 ...*9..
... .. .. .. .. .. .. .. .. . . . . . . . .
5E0: 028E1ED202B80143 2E8B0ED002CD210E .C...!.
5F0: 1F5BE80300E9C0FA B8003ECD218B1E85 .[..>.!...
600: 028E068702B82425 CD21C3558BEC1EB8 ...$%.!.U.
610: 01438B16D4028E1E D20231C9CD217306 .C..1..!s.
620: 1F5D58E945FF368B 5E04B8003ECD21B8 .]X.E.6.^...>.!.
630: 023DFA9C2EFF1EC2 011F368946045DC3 .=..6.F.].
5.9.2. Вирус RC-394 (Attention - Внимание)
Данный вирус приводится как еще один образец резидентных вирусов "студенческой" группы. Неформальное название данного вируса связано с тем, что в начале любой зараженной данным вирусом программы после 3-байтовой команды перехода на тело вируса расположена 12-байтовая текстовая строка "Attention !". После этой строки стоит байт 1Ah. Формально RC-394 является файловым резидентным вирусом, заражающим COM-файлы при запуске их на выполнение (прерывание 21h-4Bh). Длина вируса (394 байта) совпадает с приращением зараженных файлов. Это один из самых маленьких резидентных вирусов, располагающих свое тело в старших адресах оперативной памяти.
Вирус заражает COM-файлы длиной от 786 (312h) до 64921 (FD99h) байта. При заражении тело вируса дописывается в конец файла и изменяет первые 16 байтов, как было указано выше. Если заражаемый файл был защищен атрибутом READ ONLY, то перед заражением вирус снимает этот атрибут и не восстанавливает его после заражения.
При инсталляции записывает свое тело в старшие адреса оперативной памяти. Перехватывает прерывания 21h и 24h. Последнее прерывание перехватывается не совсем корректно, что может приводить к зависанию системы. Характерным проявлением вируса является включение мотора дисковода А при попытке заражения файлов на защищенной дискете, вставленной в дисковод B.
Исторические сведения. В СССР появился в Москве и Минске примерно в августе 1990 г. Автору передан Д.Н.Лозинским.
Неформальные названия. Помимо приведенного выше, неизвестны.
Методы и средства защиты. Обнаружение несложно. Рекомендуемые для входного контроля фаги приведены в прил.1.
Фрагмент дампа дрозофилы, зараженной вирусом RC-394
000: E90E10415454454E 54494F4E2020211A ...ATTENTION !.
000: 9090909090909090 9090909090909090 .
*** последующие строки идентичны предыдущей ***
000: 00CD209090909090 9090909090909090 . .
010: 90E8F9002000C514 C01D9C50535152BB ... ...PSQR.
020: 030031C9E2FEB00C BAF203EE31C9E2FE ..1...1...
030: BAF203B01CEE4B75 E95A595B589DB003 ...Ku.ZY[X...
040: CF5053515257561E 0680FC4B740D071F .PSQRWV.Kt...
... .. .. .. .. .. .. .. .. .. .. . . . . . . . .
0F0: 58050D00A3010052 31C931D2B80042CD X...R1.1...B.
100: 2159B440CD21B43E CD21E941FFFA5A81 !Y.@.!.>.!.A..Z.
110: EA1300BB7901A102 005031C9518ED99D .y.P1.Q...
120: 39061504750253CB 581E0E1F1EC7C11A 9...u.S.X.
130: 0029C8A30200508C C929C8498ED9A303 .).P..).I.
140: 00581F8EC08BF231 FFC7C18901F3A4BE .X..1..
150: 00018BF9B91000F3 A41F0653BB84008B ..S.
160: 07C707400026A315 008B47028C470226 ...@.&.G..G.&
170: A317008C0615040E 07CBB910008BF2BF .
180: 0001061F1E57F3A4 FBCB ..W...
5.10. Заключительные замечания
К моменту сдачи книги в набор появились две группы опасных отечественных вирусов-вандалов: Words и Hymn.
Вирусы группы Words, судя по тексту в одном из них, разработаны в Киеве. Заражают как COM-, так и EXE-файлы, причем последние путем превращения в COM-файл. Метод постановки в резидент заимствован из вируса RC-1701. Фаза проявления связана с искажением записываемой в файлы информации: вирус переставляет соседние слова (последовательности букв, цифр и знаков препинания, разделенные пробелами). В качестве букв рассматриваются и буквы кириллицы, что подтверждает отечественное происхождение вируса. Штамм RCE-1069 портит дату и атрибуты файла. Эти ошибки исправлены в штамме RCE-1085. Два последних штамма: RCE-1387 и RCE-1503 шифруют свое тело, причем RCE-1509 имеет самомодифицирующийся инсталлятор.
В группу Hymn входят три вируса: RCE-1865 (наиболее ранняя версия, записывается в программу без модификации) RCE-1962 (кодирует свое тело при записи в заражаемую программу, оставляя стабильным лишь фрагмент инсталлятора с циклом раскодировки); RCE-2144 (помимо кодирования тела содержит примитивную защиту от трассировки). Формально указанные вирусы представляют собой файловые резидентные вирусы, заражающие как COM-, так и EXE-файлы, причем не только при загрузке программы, но и при открытии файла, переименовании, изменении аттрибутов, а также при создании нового программного файла. Среда функционирования вируса ограничена версиями, начиная с 3.3 (как и во многих других вирусах, используются недокументированнные особеннности именно этой версии), однако проверка версии в теле вируса отсутствует.
Фаза проявления вирусов группы Hymn наступает при совпадении числа с номером месяца (например, 12 декабря, 1 января и т.д.) и состоит в обнулении ряда параметров винчестера (размер блока, количество FAT, и т.д.), после чего делается попытка исполнить Гимн Советского Союза (по мнению Д.Н.Лозинского, довольно фальшиво) с выводом на экран саморекламы. Если на PC XT в момент загрузки системы стоит дата 01.01.80 и если COMMAND.COM заражен, логический диск C сразу портится. Таким образом, эти вирусы наиболее опасны на компьютерах, не имеющих таймера.
Как оказалось, для MS DOS 3.3 обнуления параметров оказывается достаточно, чтобы компьютер перестал грузиться с дискеты (по-видимому, процесс загрузки аварийно завершается из-за деления на нуль). Восстановления винчестера можно выполнять с помощью утилиты, загрузив c дискеты MS DOS 4.0 или 5.0. Имея распечатку дампов системных блоков, для восстановления удобно использовать утилиту DiskTool из Norton Utilities 5.0, а при ее отсутствии - хорошо известную утилиту NU.
Дополнительные сведения о вирусах группы Hymn приведены в прил.1.