Информационные технологииStfw.Ru 🔍

Новые вирусы группы Dark Avenger

🕛 09.03.2009, 00:06
Как уже указывалось, болгарская техно-крыса по кличке Dark Avenger является одним из основных поставщиков файловых вирусов для СССР. Поэтому сведения о разработанных этой техно-крысой вирусах представляют особый интерес. Приводимые ниже сведения основаны на описании П.Хоффман. Западным вирусологам эти вирусы передал В.Бончев.
6.2.3.1. Вирус RCE-02100 (2100, UScan Virus)

Формально данный вирус является резидентным файловым вирусом, заражающим как COM-, так и EXE-файлы, включая оверлеи. Заражает процессор COMMAND.COM. При выполнении зараженной вирусом программы вирус инсталлируется, уменьшает системную память на 4288 байтов, а затем заражает командный процессор. Заражает программы при выполнении или открытии файла. Минимальная длина заражаемой программы - 2100 байтов. Увеличение длины при резидентном вирусе маскируется. Как обычно, при резидентном вирусе появляется побочный эффект, связанный с появлением потерянных кластеров при проверке целостности файловой системы командой CHKDSK /F.

Исторические сведения. Вирус был обнаружен в Болгарии в июле 1990 г. Распространялся через троянскую версию антивирусной программы UScan, которая была загружена в несколько европейских BBS. При этом наличие вируса в самой программе было замаскировано, и его было невозможно обнаружить детектором, рассчитанным на данный вирус. В начале 1991 г. обнаружен в СССР.

Неформальные названия. Помимо приведенных выше, неизвестны.

Методы и средства защиты. Вирус детектируется полидетектором Scan, начиная с версии 66.
6.2.3.2. Вирус RCE-01024

Формально данный вирус является резидентным файловым вирусом, заражающим как COM-, так и EXE-файлы. При запуске зараженной програмы вирус проверяет значения ряда прерываний, включая 1h и 3h. Если прерывания 1h и 3h перехвачены, то вирус не инсталлируется в оперативной памяти, а запускает программу-вирусоноситель и после ее окончания вызывает зависание системы. Если указанные прерывания свободны, то вирус инсталлируется, уменьшая значения свободной памяти на 1072 байта и перехватывая ряд прерываний. Являясь резидентным, вирус заражает каждую выполняемую программу, имеющую длину больше 1024 байтов. Увеличение длины маскируется при резидентном вирусе. Вирус дописывается в конец зараженных файлов. Файлы заражаются однократно. В конце зараженных файлов имеется строка '7106286813'. Вирус, по-видимому, не имеет стадии проявления.

Исторические сведения. Вирус был обнаружен в Болгарии в мае 1990 г. По ряду признаков данный вирус можно считать предшественником RCE-02000.

Неформальные названия. Помимо приведенных выше, неизвестны.

Методы и средства защиты. Вирус детектируется полидетектором Scan, начиная с версии 66.
6.2.3.3. Вирус RC-800 (800, Live after Death - Жизнь после смерти)

Неформальное название связано с тем, что вирус содержит текстовую строку "Live after Death", хотя она не видна при просмотре дампа (вирус шифрует собственное тело при заражении). Формально RC-800 - резидентный файловый вирус, заражающий файлы при запуске их на выполнение, но не заражающий COMMAND.COM. При запуске зараженной программы вирус инсталлируется в старших адресах памяти, уменьшая системную память на 16К (возможно, из-за ошибки) и используя старшие 8192 байта. Перехватывает прерывание 2Ah. Файлы заражаются при запуске на выполнение. Зараженные файлы заражаются повторно, причем каждый раз длина увеличивается на 800 байтов. Минимальная длина заражаемых файлов - 1K, однако файлы, большие 1K, также заражаются выборочно. Имеется штамм, заражающий файлы как при выполнении, так и при открытии. Этот штамм уменьшает системную память ровно на 8192 байта.

Исторические сведения. Вирус был обнаружен в Болгарии в мае 1990 г. В СССР не отмечался.

Неформальные названия. Помимо приведенных выше, неизвестны.

Методы и средства защиты. Вирус детектируется полидетектором Scan, начиная с версии 66.
6.2.3.4. Вирус RCE-0651 (Eddie-3 - Эдди-3)

Вирус уменьшает системную память на 688 байтов. Уменьшение системной памяти маскируется. Заражаются программы длиной более 651 байта. Заражение происходит при запуске файлов на выполнение. Увеличение длины маскируется при резидентном вирусе. Инфицированные файлы содержат строку "Eddie Lives" в конце инфицированного файла. Побочным эффектом вируса является появление потерянных кластеров при проверке целостности файловой системы командой CHKDSK /F.

Неформальные названия. Помимо приведенного в заголовке, неизвестны.

Исторические сведения. Вирус был обнаружен в Болгарии в апреле 1990 г. В СССР не отмечался.

Методы и средства защиты. Вирус детектируется полидетектором Scan (версии 66+).

Вирусы   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉