Информационные технологииStfw.Ru 🔍

Новые стелс-вирусы

🕛 09.03.2009, 00:05
В последнее время наблюдается появление новых вирусов, при разработке которых приняты изощренные меры по маскировке их присутствия на зараженной машине. Описываемые ниже вирусы основаны на RCE-04096.FRD и, возможно, принадлежат тому же автору.
6.2.1.1. Вирус RCE-03584 (Fish - Рыба)

Неформальное название данного вируса связано с тем, что иногда в теле зараженных программ встречается строка "FISH FI". Кроме того, просматривая оперативную память при резидентном вирусе, можно обнаружить названия некоторых рыб. Формально вирус представляет собой резидентный файловый вирус, заражающий как COM-, так и EXE-файлы. Вирус заражает COMMAND.COM. Подобно некоторым бутовым вирусам, RCE-03584 переживает "теплую" перезагрузку, перехватывая комбинацию нажатий Ctrl-Alt-Del.

При выполнении зараженной программы вирус проверяет свое наличие в памяти и, если отсутствует, то инсталлируется в младших адресах оперативной памяти. При этом, если прерывание 13h не перехвачено другой программой, то вирус перехватывает это прерывание и резервирует 8192 байта. Если прерывание 13h уже перехвачено, то вирус резервирует только 4096 байтов памяти и через некоторый случайный интервал времени инициирует "теплую" перезагрузку, в процессе которой он заражает COMMAND.COM и перехватывает прерывание 13h.

Будучи резидентным, вирус заражает все открываемые COM- и EXE-файлы. При этом длина зараженных файлов увеличивается на 3584 байта, однако это увеличение при резидентном вирусе маскируется. При запуске программы CHKDSK на зараженной машине диагностируются ошибки в распределении файлов. Если при этом CHKDSK запущена с ключом /F, то попытки исправления ведут к потере кластеров и сращиванию файлов.

Проявление вируса связано с тем, что он замедляет запись в видеопамять и на инфицированных машинах заметно мерцание экрана дисплея. Другие проявления вируса неизвестны, хотя вирус проверяет, равен ли текущий год 1991. Подобно вирусу RCE-04096, данный вирус не обнаруживается ревизорами, запущенными на зараженной системе. Вирус также обходит сторожа, следящие за операциями записи на диск. Кроме того, вирус постоянно перекодирует себя в оперативной памяти.

Исторические сведения. Данный вирус является существенно переработанной модификацией вируса RCE-04096 и был выделен в мае 1990 г. К моменту выделения он был достаточно распространен в Западной Европе. Предполагается, что он был разработан в Германии. В СССР не выделен. Приводимые сведения базируются в основном на списке П.Хоффман.

Методы и средства защиты. Вирус детектируется полидетектором Scan (версии 66+).
6.2.1.2. Вирус Mother Fish - Мать-рыба, Whale - Кит

Данный вирус является наиболее сложным и изощренным среди известных стелс-вирусов. Размер кода достигает 9К. Это приблизительно 6 тыс. строк исходного текста, т.е. от нескольких месяцев до года упорной работы. Вирус написан программистом, знакомым с непосредственным программированием входящих в состав IBM PC контроллеров, в частности контроллера прерываний 8259 и контроллера 8255, управляющего периферийными устройствами. Вирус зашифрован и имеет самомодифицирующийся инсталлятор. Это несколько усложнает детектирование, хотя Scan вроде бы успешно справляется с данной задачей.

Следует отметить, что данный вирус тратит настолько много системных ресурсов при работе, что заметно замедляет работу компьютера, тем самым существенно упрощая свое обнаружение. Возможно, этот вирус следует считать направленным не столько против пользователей (поскольку из-за своего размера и сложности он не очень "жизнеспособен"), сколько против вирусологов: пусть, мол, ломают себе голову, разбираясь с 30-метровым листингом дизассемблированного текста.

Исторические сведения. Данный вирус, по-видимому, является развитием предыдущего. Обнаружен примерно в июле-августе 1990 г. в Западной Европе. В СССР не выделен. Приводимые сведения базируются, в основном, на материалах Virus forum FIDO NET.

Методы и средства защиты. Вирус детектируется полидетектором Scan (версии 66+).

Вирусы   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉