Вирус Bx3-EB (Disk Killer - Диск-киллер)
🕛 16.03.2009, 13:18
Неформальное название данного вируса связано с содержащимися в его теле текстовыми строками (см. ниже). Формально данный вирус относится к бутовым вирусам типа Вx3, поскольку поражает как дискеты, так и винчестер, причем на дискете хвост вируса расположен в трех кластерах, помеченных как сбойные. Дамп секторов, содержащих данный вирус, приведен ниже. Иногда из-за ошибки в вирусе эти сектора "отнимаются" у некоторого файла, а не берутся из свободного пространства и создается впечатление, что файл заражен данным вирусом. Например, автору был передан экземпляр программы DISKCOPY, содержащей в хвосте тело данного вируса.Вирус поражает и винчестер, однако размещает свой хвост не в псевдосбойных кластерах, а в секторах, расположенных между MBR и началом раздела С.
Процесс размножения стандартен. Данный вирус, как и большинство бутовых вирусов, конфликтует с драйверами дискет, поддерживающих нестандартные форматы (например, 720K). При этом либо система зависает, либо выдается сообщение о делении на нуль.
Инфицированный диск содержит сообщение и часть кода вируса в бут-секторе. Остальная часть вируса, включая копию оригинального (т.е. незараженного) бут-сектора, содержится в трех кластерах, которые, как уже указывалось выше по разному размещаются на дискете и винчестере.
Фаза проявления данного вируса состоит в прописывании определенным символом всего содержимого раздела С. Если винчестер содержит несколько разделов, то остальные разделы остаются нетронутыми (при использовании ADM). Вирус подсчитывает время использования диска с момента заражения и активируется после достижения определенного значения (примерно 48 ч). Обычно это означает 1-6 недель с момента заражения в зависимости от интенсивности использования компьютера. Фаза проявления начинается с выдачи сообщения, содержащегося в коде вируса.
"Disk Killer - Version 1.00 by COMPUTER OGRE 04/01/89 Warning!! Don't turn off the power or remove the diskette while Disk Killer is Processing! PROCESSING Now you can turn off the power. I wish you Luck!" "Диск Киллер - Версия 1.00 КОМПЬЮТЕРНОГО ЛЮДОЕДА 01.04.89 Предупреждение !! Не выключайте компьютер и не удаляйте дискету пока работает Диск Киллер! ОБРАБОТКА Теперь вы можете выключить компьютер. Желаю удачи!"
Следует отметить, что в этот момент еще можно спасти часть информации, нажав на кнопку перезагрузки (теряются системные блоки). Затем вирус кодирует сектора, выполняя операцию XOR со значениями 0AAAAh и 05555h. Как известно, операция XOR обратима, поэтому можно восстановить перекодированную информацию.
Исторические сведения. В теле вируса содержится дата 04/01/89 (по-видимому, в американском формате месяц/день/год), которую можно интерпретировать как дату создания вируса. По данным П.Хоффман, был выделен в Калифорнии в апреле 1989 г. и имеет тайванское происхождение. В нашей стране вирус появился в начале 1990 г.
Неформальные названия. Полидетектор Scan называет данный вирус "Disk Killer Virus [Killer]". Другими неформальными названиями, помимо приведенных в заголовке являются Ogre - Людоед, Computer Ogre, Disk Ogre.
Методы и средства защиты. Вирус можно идентифицировать путем визуального просмотра содержимого бут-сектора, например, Norton Utilities. В качестве детектора может использоваться полидетектор Scan. Вместо фага можно использовать команду SYS. При разбивке винчестера раздел С следует создавать минимальным, записывая туда только компоненты операционной системы. В этом случае восстановление становится тривиальным.
Дамп бут-сектора, зараженного вирусом Bx3-EB
000: FAEB4F4D53444F53 332E330002020100 ..OMSDOS3.3..
010: 027000D002FD0200 0900020000000000 .p..
020: 0000000000000000 0000000000000012 .
030: 000000000100FA33 C08ED0BC0000CB3C .3.<
040: B200AE0000007400 0000005500000000 ...t.U.
050: 55552EA11304B106 D3E08ED8813E3E00 UU..>>.
060: CB3C75081E8D063B 0250FBCBB8007CB1 .<u.;.P.
... .. .. .. .. .. .. .. .. . . . . . . . .
1C0: F501A33F01EB0C90 B80000A34101FEC4 ...?..A...
1D0: A33F01B90300B001 51E867FF597308B4 .?...Q.g.Ys..
1E0: 00CD83E2F3F9C3F8 C300000000000000 .
1F0: 0000000080010100 00000000000055AA ..U.
Фрагмент дампа первого псевдосбойного сектора с телом вируса Disk Killer
000: FA2EC60664018333 C08ED8A12000A304 .d..3. ...
010: 02A12200A30602A1 4C00A30C02A14E00 .."..L..N.
020: A30E02B87B02A320 00B88F02A34C008C .{.. ..L..
030: C8A32200A34E00FB EB159033C08ED88C .."..N..3.
040: C88EC0BE037CBF03 00B94700FCF3A433 ..|.G.3
... .. .. .. .. .. .. .. .. . . . . . . . .
Фрагмент дампа сектора с текстовой информацией
500: 00C70641010000C6 064001018CC88EC0 ...A..@...
510: BBA208B001E82FFA B80006B90000BA4F .../..O
520: 18BB0800CD10B402 B700BA000CCD10BB .
530: 2C00BEDF07E85101 EBFE4469736B204B ,..Q...Disk K
540: 696C6C6572202D2D 2056657273696F6E iller - Version
550: 20312E3030206279 20434F4D50555445 1.00 by COMPUTE
560: 52204F4752452030 342F30312F313938 R OGRE 04/01/198
570: 390D0A005761726E 696E672021210D0A 9...Warning !!..
580: 0A446F6E27742074 75726E206F666620 .Don't turn off
590: 74686520706F7765 72206F722072656D the power or rem
5A0: 6F76652074686520 6469736B65747465 ove the diskette
5B0: 207768696C652044 69736B204B696C6C while Disk Kill
5C0: 6572206973205072 6F63657373696E67 er is Processing
5D0: 210050524F434553 53494E470D0A004E !.PROCESSING...N
5E0: 6F7720796F752063 616E207475726E20 ow you can turn
5F0: 6F66662074686520 706F7765722E0D0A off the power...
600: 0A49207769736820 796F75206C75636B .I wish you luck
610: 20210057B93A00BE A508BF0300FCF3A4 !.W.:.
620: 5FC3C60632080290 EB09C60632080390 _...2.2...
630: EB01005033D28B0E 1A00F7F1C6064001 ...P3...@.
640: 0188163F01A34101 A162088EC08A2632 ...?..A..b.&2
650: 08A01800E8F4F873 05B400CD13F958C3 .s...X.
660: 00000000501EFF36 62081F2E8B0E6008 .P..6b..`.