Южнозеландская группа

🕛 16.03.2009, 13:18

Для данной группы характерно заражение MBR на винчестере и минимальный хвост, размером в один сектор, содержащий только оригинальный бутсектор (или MBR), который размещается не в псевдосбойном кластере, а по определенному абсолютному адресу, приходящемуся на начальные сектора диска. Другой особенностью вирусов данной группы является то, что они заражают винчестер сразу после инсталляции в оперативную память, т.е. до передачи управления стандартному загрузчику, а не после, как это делает большинство вирусов других групп.

Вирус M-05 (Stoned - Забалдевший)

Неформальное название данного вируса связано с тем, что при загрузке MS DOS с вероятностью 1/8 на экран выдается сообщение "Your PC is now Stoned" ("Ваш компьютер забалдел"), после которого, с некоторой задержкой, возрастающей по мере увеличения количества перезагрузок и сопровождающейся характерным звуком, выполняется нормальная загрузка.

Формально M-05 представляет собой бутовый вирус, заражающий как дискеты, так и винчестер. Голова вируса содержит строку "LEGALISE MARIJUANA!". Хвост состоит только из оригинального бут-сектора. Работоспособен как на PC XT, так и на PC AT.

Заражение дискет выполняется стандартным образом. Вирус перехватывает прерывание 13h и проверяет запрашиваемую по данному прерыванию функцию. Если это чтение или запись, то вирус определяет, к какому диску идет обращение. Если это диск А, то вирус считывает бут-сектор с дискеты и определяет, заражен ли он уже или нет. Если нет, то считанный оригинальный бут-сектор записывается по адресу 0/1/3, а вместо него записывается тело вируса.

Заражение винчестера выполняется при инсталляции вируса. Вирус считывает MBR винчестера и по первым четырем байтам определяет, заражен он или нет. Если не заражен, то выполняется его заражение путем записи головы вируса в MBR. Расположение хвоста вируса отличается для дискеты и винчестера. Как уже указывалось, на дискете хвост вируса расположен не в сбойном кластере, а в секторе с абсолютным адресом (цилиндр/дорожка/сектор) 0/1/3 - последнем секторе главного каталога дискеты. На винчестере хвост располагается в свободном секторе с абсолютным адресом 0/0/7, который обычно представляет собой неиспользуемое пространство между MBR и началом логического диска С.

При заражении дискеты проверок, занят указанный выше сектор информацией или нет, вирус не выполняет. Поэтому на дискете, содержащей в главном каталоге много мелких программ (более 96), возможно уничтожение части каталога. Поскольку при заражении дискет вирус не проверяет тип дискеты, то при заражении дискет 720K или 1.2M может быть уничтожена часть FAT. Пораженные дискеты могут быть восстановлены, поскольку MS DOS хранит две копии FAT.

В случае, если винчестер разбит более чем на четыре логических раздела с помощью SpeedStore, содержимое записей Partition Table всех разделов после четвертого при заражении теряется и до восстановления оригинального MBR становится недоступной. Кроме того, если диск размечен так, что сектор 0/1/7 используется для хранения информации, вирус уничтожит эту информацию. Такие случаи наблюдаются при разметке диска c помощью ADM. Информацию об этих разделах можно восстановить с помощью Norton Disk Doctor.

Фаза проявления привязана к загрузке с дискеты. Если компьютер загружается с зараженной дискеты, то с веротностью 1/8 на экране появляется приведенное выше сообщение.

Исторические сведения. Вирус M-05 впервые был обнаружен в Веллингтоне (Новая Зеландия) в начале 1988 г. и быстро распространился в Азии, а затем в США и Европе. Исторически это первый бутовый вирус, заражавший MBR. По данным П.Хоффман, оригинальный вирус заражал только пятидюймовые дискеты 360K. С этой точки зрения описанный выше вирус следует рассматривать как штамм оригинального (Stoned-B). В нашей стране появился в конце 1989 г. практически одновременно в нескольких городах. В настоящее время является самым распространенным в СССР бутовым вирусом.

Имеется несколько штаммов, среди которых отметим штамм Stone Rostov, описанный ниже, а также Stoned-C: штамм с удаленным сообщением; Stoned-D: аналогичен описанному выше, однако способен заражать дискеты типа HD (как трех-, так и пятидюймовые).

Неформальные названия. Помимо приведенного выше, встречаются названия: Marijuana - Марихуана, Hawaii - Гаваи, New Zealand - Новая Зеландия, San Diego - Сан Диего, Smithsonian - Смитсонианский. Полидетектор Scan называет данный вирус "Stoned Virus [Stoned]".

Методы и средства защиты. Рекомендуемые детекторы и полифаги приведены в прил.2. В связи с тем, что вирус заражает винчестер в процессе инсталляции, универсальная бутовая вакцина VitaminB способна только диагностировать факт заражения, но не в состоянии предотвратить его. В таких случаях нужно сразу перегрузиться с защищенной от записи дискеты с эталонной операционной системой и запустить подходящий фаг. В случае обнаружения вируса в организации рекомендуется провести ревизию всех используемых дискет.
Дамп бут-сектора дискеты, зараженной вирусом M-05

000: EA0500C007E99900 0043A300F0E40040 ...C..@
010: 9F007C00001E5080 FC02721780FC0473 ..|...P...r.s
020: 120AD2750E33C08E D8A03F04A8017503 ...u.3.?...u.
030: E80700581F2EFF2E 0900535152065657 ...X...SQR.VW
040: BE0400B801020E07 BB000233C98BD141 ..3...A
050: 9C2EFF1E0900730E 33C09C2EFF1E0900 ...s.3.
060: 4E75E0EB359033F6 BF0002FC0E1FAD3B Nu..5.3..;
... .. .. .. .. .. .. .. .. . . . . . . . .
170: 1F0E07BEBE03BFBE 01B94202F3A4B801 .B..
180: 0333DBFEC1CD13EB C507596F75722050 .3..Your P
190: 43206973206E6F77 2053746F6E656421 C is now Stoned!
1A0: 070D0A0A004C4547 414C495345204D41 ..LEGALISE MA
1B0: 52494A55414E4121 0000000000000000 RIJUANA!..
1C0: 0000000000000000 0000000000000000 .
1D0: 0000000000000000 0000000000000000 .
1E0: 0000000000000000 0000000000000000 .
1F0: 0000000000000000 0000000000000000 .

Следует обратить внимание, что в конце зараженного бут-сектора отсутствует двухбайтовый признак загружаемого бут-сектора 55h AAh.

Штамм M-05r (Stone Rostov - Ростовский балдеж)

Данный штамм практически идентичен базисной версии. В конце зараженного бут-сектора отсутствует характерная подпись 55AAh и видны обрывки стандартных текстовых сообщений. Изменена лишь часть кода, связанная с проявлением вируса: данный штамм не содержит ни характерных для базисной версии текстовых строк, ни кода, который выводит их на дисплей. Вместо этого вставлен код, который при загрузке с зараженной дискеты с вероятностью 1/32 стирает на винчестере 8 секторов.

Исторические сведения. Вирус M-05r был обнаружен в Ростове летом 1990 г. Автору передан Д.Н.Лозинским.

Неформальные названия. Помимо приведенных выше, неизвестны.

Методы и средства защиты. Аналогичны рекомендованным для базовой версии.
Дамп бут-сектора дискеты, зараженной вирусом M-05r

000: 9A0500C007E99900 00E90100C8E40080 .
010: 9F007C00001E5080 FC02721780FC0473 ..|...P...r.s
020: 120AD2780E33C08E D8A03F04A8017503 ...x.3.?...u.
030: E80700581F2EFF2E 0900535152065657 ...X...SQR.VW
040: BE0400B801020E07 BB000233C98BD141 ..3...A
050: 9C2EFF1E0900730E 33C09C2EFF1E0900 ...s.3.
060: 4E75E0EB359033F6 BF0002FC0E1FAD3B Nu..5.3..;
070: 057506AD3B450274 21B80103BB0002B1 .u..;E.t!.
080: 03B6019C2EFF1E09 00720FB8010333DB ...r.3.
090: B10133D29C2EFF1E 09005F5E075A595B ..3._^.ZY[
0A0: C333C08ED8FA8ED0 BC007CFBA14C00A3 .3..|..L..
0B0: 097CA14E00A30B7C A113044848A31304 .|.N...|...HH...
... .. .. .. .. .. .. .. .. . . . . . . . .
170: 1F0E07BEBE03BFBE 01B94202F3A4B801 .B..
180: 0333DBFEC1CD13EB C5074E6F6E2D7379 .3..Non-sy
190: 7374656D20646973 6B20202020202020 stem disk
1A0: 200D0A0A00526570 6C61636520616E64 .Replace and
1B0: 20737472696B6520 0000000000000000 strike ..
1C0: 0000000000000000 0000000000000000 .
1D0: 0000000000000000 0000000000000000 .
1E0: 0000000000000000 0000000000000000 .
1F0: 0000000000000000 0000000000000000 .