Вирусы с самомодифицирующимся инсталлятором
🕛 09.03.2009, 00:05
Данный класс вирусов содержит специальные средства, обеспечивающие изменение инсталлятора при каждом заражении таким образом, чтобы простые строковые сигнатуры в теле вируса не встречались. Другими словами, различные копии вируса не содержат общих строк. Обычно переход к сигнатурам, основанным на регулярных выражениях, позволяет справиться с этой проблемой. В более сложных случаях сигнатура может быть определена с помощью символического выполнения начального участка вируса. Следует отметить, что в связи с ограниченностью размера вируса, применяемые способы просты и обычно лишь незначительно затрудняют детектирование.6.2.2.1. Вирус RC-1701p (Phoenix - Феникс)
Несмотря на идентичную длину, вирус не связан с группой Буквопад. Формально данный вирус представляет собой файловый резидентный вирус, заражающий COM-файлы и имеющий специальный механизм инфицирования COMMAND.COM. Инсталлируется в старшие адреса свободной памяти, резервируя 8192 байта. Перехватывает прерывание 2Ah.
Вирус использует метод заражения COMMAND.COM, впервые использованный в Лехайском вирусе и позволяющий сохранить первоначальную длину командного процессора после заражения. Поиск командного процессора выполняется на диске, указанном в COMSPEC. При заражении тело вируса записывается в область с нулевыми байтами. Затем вирус выполняет попытку поиска и заражения командного процессора на диске С (на случай, если диск, указанный в COMSPEC, является электронным).
Заражает COM-файлы, увеличивая их длину на 1701 байт. Проверка файла на зараженность выполняется некорректно, поэтому вирус может повторно заражать один и тот же файл, каждый раз увеличивая длину на 1701 байт. Инфицируются файлы как при выполнении, так и при открытии. Использует сложный метод шифровки тела, включая самомодификацию инсталлятора, поэтому детекторы, основанные на поиске контекстных строк, не в состоянии обнаружить данный вирус.
Исторические сведения. Вирус был обнаружен в Болгарии в июле 1990 г. На Запад был передан В.Бончевым. Приводимые сведения основаны на описании П.Хоффман. Разработан техно-крысой, по кличке Dark Avenger. Вирус имеет ряд штаммов.
Неформальные названия. Помимо приведенных выше, используются названия V1701New и P1.
Методы и средства защиты. При попытке выполнить утилиту CHKDSK на зараженной системе вирус инициирует "теплую" перезагрузку системы. Это может служить косвенным признаком зараженности компьютера. Вирус детектируется полидетектором Scan (версии 66+).
6.2.2.2. Вирус RCE-2560 (Virus-101)
Данный вирус является первым известным резидентным вирусом с самомодифицирующимся инсталлятором и первым, заражающим, наряду с файлами, бут-сектор. Вирус заражает файлы только на дискетах. Если на дискете нет файла, который можно заразить, то он заражает бут-сектор.
Исторические сведения. Вирус написан Патриком Толме (Patrick Toulme) в январе 1990 г. якобы в качестве "учебного пособия", и автор некоторое время распространял за плату исходный текст вируса. По-видимому, это был первый компьютерный вирус с самомодифицирующимся инсталлятором.
Неформальные названия: Помимо приведенного выше, неизвестны.
Методы и средства защиты. Детектируется полидетектором Scan, начиная с версии 66.