Группа первоапрельских вирусов
Данная группа, по-видимому, является историческим предшественником иерусалимской группы и, возможно, принадлежит тому же автору.
🕛 09.03.2009, 00:09
В нее входят вирусы RC-897 и RE-1488. В СССР отмечены лишь единичные случаи заражения.Вирус RC-897 (SURIV 1 - Сурив 1, April First - Первое апреля)
Резидентный файловый вирус, заражающий COM-файлы при запуске на выполнение. При заражении очередного файла выдает на экран сообщение
YOU HAVE A VIRUS.
а первого апреля выдает сообщение
HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS (1 апреля ха-ха-ха. У Вас вирус)
и вызывает зависание системы.
Исторические сведения. Вирус разработан в Израиле в 1987 г. и относится к ранним представителям иерусалимской группы. В СССР обнаружен в сентябре 1990 г. Е.В.Касперским.
Методы и средства защиты. Данный вирус диагностируется полидетектором Scan. Рекомендуемые полифаги приведены в прил.1.
6.3.4.2. Вирус RE-1488 (SURIV 2 - Сурив 2, April First - Первое апреля, Jerusalem D - Иерусалим Д)
Штамм, заражающий EXE-файлы. Проявляется 1 апреля и после определенного времени работы на компьютере, выдавая сообщение
HA HA HA IT'S APRIL 1ST - YOU HAVE A VIRUS. (1 апреля ха-ха-ха. У Вас вирус)
При этом зависание системы приводит к потере информации при редактировании или других аналогичных работах.
Исторические сведения. Вирус разработан в Израиле в 1987 г. и относится к ранним представителям иерусалимской группы. В СССР обнаружен в сентябре 1990 г. Е.В.Касперским.
Методы и средства защиты. Данный вирус диагностируется полидетектором Scan. Рекомендуемые полифаги приведены в прил.1.
Группа Datacrime (Дейтакрайм)
Данная группа появилась в США в 1989 г. В настоящее время состоит из четырех штаммов длиной 1168 (Datacrime), 1280 (Datacrime-B), 1480 (Datacrime-II) и 1514 (Datacrime-IIb) байтов. Стадия проявления для данного вируса наступает ежегодно после 12 октября (день открытия Америки, День Колумба). Перед поиском файла-жертвы вирус проверяет текущую дату. Если дата больше 12 октября и компьютер имеет винчестер, то первые два штамма дешифруют и выдают на экран сообщение:
DATACRIME VIRUS RELEASED: 1 MARCH 1989
а последние два (Datacrime-II и Datacrime-IIb):
DATACRIME II VIRUS
Фазы проявления идентичны для всех упомянутых выше версий и состоят в низкоуровневом форматировании нулевого трека (головки 1-9). При этом вирус уничтожает MBR, бут-сектор, FAT и главный каталог. В результате при перезагрузке машины винчестер не опознается и для восстановления требуются резервные копии соответствующих системных блоков. После уничтожения нулевого трека вирус зацикливается, выдавая в этом бесконечном цикле символ BELL (звуковой сигнал). Это еще раз подчеркивает необходимость резервирования первых треков при каждой загрузке в специальный файл, расположенный в фиксированном месте диска, с помощью специальных программ (Image из пакета Norton Utilities или Mirror из пакета PC Shell).
По данным H.J.Highland [Highland89j], который до 1990 г. был главным редактором журнала Computers & Security, автор вирусов предпринял некоторые меры маскировки. Вирусы, входящие в данную группу, не заражают файлы, седьмой символ имени которых равен "D", и в частности, файл COMMAND.COM. Как уже указывалось, содержащееся в теле вируса текстовое сообщение шифруется с помощью команды XOR. Дешифровка выполняется непосредственно перед выдачей сообщения на экран, т.е. перед срабатыванием троянской компоненты. При поиске зараженных файлов вирус просматривает корневой каталог и все подкаталоги винчестера. Если подходящие для заражения файлы там не обнаружены, то выполняется просмотр диска A, а затем диска B.
Вирус E-1168 (1168, Datacrime - Дейтакрайм, Columbus Day - День Колумба)
Данный вирус является нерезидентным файловым вирусом, заражающим EXE-файлы. При заражении дописывает себя в конец файла, увеличивая длину на 1168 байтов и заменяя первые пять байтов зараженной программы на команду перехода к началу вируса. Вирус размножается с 1 апреля по 12 октября любого года. До 1 апреля вирус находится в латентном состоянии и при запуске зараженных файлов сразу передает управление вирусоносителю. Стратегия размножения основана на просмотре каталогов и заражении всех найденных COM-файлов, кроме тех, которые имеют в качестве седьмой буквы имени букву D. Сначала просматриваются разделы винчестера, а затем дисководы с дискетами. Из-за ошибок в коде заражаются не все файлы, создавая впечатление случайного выбора. Возможно зависание системы в процессе заражения.
При выполнении зараженного файла после 12 октября любого года вирус выдает приведенное выше сообщение (зашифровано в теле вируса) и выполняет низкоуровневое форматирование нулевого трека винчестера. Для PC AT, а также систем c контроллерами типа RLL или SCSI алгоритм запуска низкоуровневого форматирования неработоспособен.
Исторические сведения. Данный вирус обнаружен в мае 1989 г. в Нидерландах. По всей видимости, вирус разработан там же. Судя по выдаваемой надписи, время разработки относится в началу 1989 г., а начало распространения - к марту 1989 г. Случаи заражения отмечались в США уже летом того же года. Это первый вирус, в котором фаза распространения и фаза проявления отделены периодом в десять месяцев. В настоящее время практически полностью уничтожен. В СССР явно не отмечался, однако, учитывая его европейское происхождение, рекомендуется проверять программное обеспечение на зараженность вирусами данной группы в сентябре текущего года.
Методы и средства защиты. Диагностируется полидетектором Scan.
Вирус E-1280 (1280, Datacrime B - Дейтакрайм B, Columbus Day - День Колумба)
Штамм, заражающий только файлы типа EXE- и способный форматировать винчестер с контроллерами как типа MFM, так и типа RLL.
Вирус CE-1480 (1480, Datacrime II - Дейтакрайм, Columbus Day - День Колумба)
Штамм, заражающий как COM-, так и EXE-файлы. Тело вируса зашифровано. Обнаружен в Нидерландах в ноябре 1990 г.
Вирус СE-1514 (1514, Datacrime IIB - Дейтакрайм IIB, Columbus Day - День Колумба)
Последний, наиболее изощренный штамм, обнаруженный в ноябре 1989 г. Заражает как COM-, так и EXE-файлы, включая COMMAND.COM. Файлы, вторым символом имени которых является буква "B" (IBMBIO.COM, IBMDOS.COM), не заражаются. Тело вируса зашифровано за исключением начала инсталлятора, что ограничивает выбор сигнатуры этим участком (аналогично RC-1701). Впрочем, размер этого участка вполне достаточен для эффективного детектирования (более 50 байтов).
Поскольку вирус не является резидентным, он заражает файлы при выполнении зараженного файла. При заражении тело вируса шифруется и дописывается в конец файла. Файлы заражаются однократно. Признак зараженности основан на проверке поля даты. Стратегия поиска потенциальных жертв основана на поиске еще незараженных EXE-, а затем COM-файлов на диске в текущем каталоге и всех его подкаталогах. Если жертва найдена, то она заражается. Таким образом, вызов зараженной программы приводит к заражению еще одного файла.
Фаза проявления описана выше, однако условие ее наступления несколько изменено. Вирус пытается форматировать нулевой трек винчестера в любой день после 12 октября, кроме понедельника, если компьютер имеет винчестер. Если компьютер не имеет винчестера, то каждое воскресенье после 12 октября при запуске зараженной программы на экран выдается сообщение
* DATACRIME II *
и система зависает.