Индийская группа
🕛 16.03.2009, 13:20
Индийская группа является, по-видимому, продуктом деятельности техно-крысы, живущей в Бомбее. В настоящее время в СССР обнаружены два представителя этой группы.Вирус WM-1F (Joshi - Джоши)
Название данного вируса связано с тем, что при загрузке MS DOS с 5 января любого года на экран выдается соообщение
Type "Happy Birthday Joshi"!
и компьютер ожидает ответа. Если ввести ответ Happy Birthday Joshi, то загрузка будет продолжена. По данным Д.Н.Лозинского, при программировании выдачи сообщения автор вируса ориентировался только на цветной монитор.
Вирус WM-1F является наиболее скрытным и тщательно маскирующимся из попавших в CCCР бутовых вирусов. Это единственный из попавших в СССР вирусов, который "переживает" теплую перезагрузку. Для этого он перехватывает прерывание от клавиатуры, контролируя нажатие Ctrl-Alt-Del. Заражает дискеты емкостью как 360К, так и 1.2М, а также винчестер.
При заражении дискет, подобно описываемому ниже вирусу D-29 (Den Zuk), записывает хвост на дополнительную дорожку (41 для 360К дискет, 81 для 1.2М дискет). При этом проверок, заняты указанные сектора информацией или нет, вирус не выполняет. Поэтому на дискете, содержащей на 41 дорожке какую-то информацию (например, "замок" защиты от копирования), она будет уничтожена. Как обычно, для заражения достаточно единственного обращения к дискете при резидентном вирусе.
Похоже, автор лишь поверхностно знаком с особенностями формата 1.2M. Распознавание дискет 1.2M выполняется некорректно - с помощью попытки чтения 17 сектора. Поэтому возможно распознавание дискет 1.2М как 360K и "вклеивание" тела вируса в середину дискеты с соответствующими последствиями.
При заражении винчестера голова вируса записывается в MBR, аналогично вирусу M-05 (Stoned). При этом хвост вируса располагается в восьми секторах, начиная с абсолютного адреса 0/0/2, т.е. сектора, следующего за MBR (как уже отмечалось, обычно эти сектора представляют собой неиспользуемое пространство между MBR и началом логического диска С). Из этих восьми секторов 6 заняты собственно хвостом вируса, следующий седьмой сектор - пустой, а восьмой содержит оригинальный MBR. Как и при заражении дискеты, при заражении винчестера вирус не проверяет содержимое этих секторов. Зараженный MBR при резидентном вирусе не виден. Механизм обеспечения данного эффекта заимствован из вируса Dx3-E9 (Brain): вирус анализирует запросы к винчестеру и перенаправляет операцию чтения нулевого сектора на сектор, где хранится "спрятанная" Partition Table.
В памяти вирус размещается в старших адресах, "откусывая" у MS DOS 6К. Вирус перехватывает прерывания 8h, 9h, 13h и 21h - почти как какой-нибудь файловый вирус.
Как уже указывалось, отличительной особенностью данного вируса является то, что он перехватывает прерывание от клавиатуры, что позволяет этому вирусу "выживать" при теплой перезагрузке (с помощью Ctrl-Alt-Del).
Исторические сведения. Вирус WM-1F впервые был обнаружен в Индии в июне 1990 г. В нашей стране появился уже в июле. В Киеве был обнаружен Б.Ю.Литвиновым, а в Москве Д.Н.Лозинским.
Неформальные названия. Полидетектор Scan называет данный вирус Joshi - Джоши. Среди других названий отметим Happy Birthday - С днем рожденья.
Методы и средства защиты. При попытке разметить дискету 1.2M на зараженной машине начинаются "фокусы": из меню PC Tools этот формат может пропасть, размеченные дискеты сбоят и т.д. Эта характерная особенность может служить достаточно надежным признаком заражения компьютера данным вирусом. Рекомендуемые детекторы и полифаги приведены в прил.2. В частности для входного контроля можно использовать полидетектор Scan в сочетании с полифагом SOS. В организациях, использующих ADM или Disk Manager, при обнаружении случаев заражения рекомендуется перейти к систематическому резервированию системных блоков, например с помощью вставки вызова программ Image или Mirror в AUTOEXEC.BAT. Наличие резервной копии системных блоков позволяет восстановить их "предпоследнее" (а для MBR и бут-сектора - последнее, поскольку они являются статическими) содержимое, что позволит провести восстановление с минимальными потерями информации. Вообще говоря, с учетом записи хвоста этого и некоторых других вирусов в область между MBR и бут-сектором логического диска С, хранение какой-то информации в секторах первой дорожки винчестера представляется нецелесообразным.
Фрагменты дампа MBR винчестера, зараженного вирусом WB-1F
000: EB1F90C007E99900 021B0300C8E40080 .
010: 7F007C00001E5080 FC02721780FC0002 ..|...P...r..
020: 80FA8CC88ED88ED0 BC00F0FBA11304B1 .
030: 06D3E08EC0B80002 2D2100BF0000BE00 ..-!...
040: 7C03F003F8B97901 2BC8FCF3A675108C |..y.+.u..
050: C00520008EC0BB00 000653B80100CBA1 .. .S..
060: 13042D0600A31304 B106D3E08EC0BE00 ..-.
070: 7CBF0000B90002FC F3A48CC00520008E |... ..
080: C0BB000006530E1F B402B0018A2E1E7C ..S...|
090: 8A0E1F7CB6008A16 207C50B800B88ED8 ...|. |P..
0A0: 585053515206CD13 075A595B58731050 XPSQR.ZY[Xs.P
0B0: 53515206B400CD13 075A595B58EBE2FE SQR...ZY[X...
0C0: C181C300021E0E1F 508AC12A061F7C2C ..P..*..|,
0D0: 08581F72CCB80000 CB00000000000000 .X.r...
0E0: 0000000000000000 0000000000000000 .
*** расположенные далее байты вирусом не меняются ***
Вирус B-21 (PrintScreen - Печать экрана)
Неформальное название вируса связано с тем, что вирус вызывает в определенные моменты времени прерывание 5 (печать экрана на принтер). Cпецификация вируса мало чем отличается от спецификаций представителей итальянской группы. Правда в отличие от них B-21 имеет вырожденный хвост, состоящий лишь из оригинального бут-сектора.
При инсталляции "откусывает" 2К. Как и все бутовые вирусы перехватывает вектор 13h. Хвост вируса, состоящий из оригинального бут-сектора записывается по адресу 1/3/13 при заражении винчестера или 0/3/13 при заражении дискеты.
При заражении винчестера вирус не определяет реального положения бутсектора диска С, а исходит из предположения, что бут-сектор всегда расположен по адресу 0/1/1. Хотя это предположение оправдывается в большинстве случаев, при любом другом положении бутсектора вирус "попадает пальцем в небо".
Фаза проявления связана с использование местом хранения хвоста, что может привести к уничтожению одного из секторов FAT. По замыслу автора, при каждом обращении к диску должно вызывать прерывание 5h (печать экрана), но из-за ошибки, этого, по-видимому, никогда не происходит.
Исторические сведения. Вирус WM-1F впервые был обнаружен в Бомбее (Индия) в ноябре 1989 г. Невилем Булсара (Neville Bulsara). Это первый известный индийский вирус. Автору был передан Д.Н.Лозинским. Это сравнительно редкий вирус, не получивший, в отличие от предыдущего, сколько-нибудь значительного распространения. Имеется два штамма, причем второй - более отлаженная версия первого.
Неформальные названия. Полидетектор Scan называет данный вирус Print Screen. Среди других названий отметим EB 21, 8290, PRTSC Virus.
Методы обнаружения и средства защиты. Основным признаком заражения компьютера данным вирусом является резкое замедление доступа к винчестеру. Рекомендуемые детекторы и полифаги приведены в прил.2. Входной контроль можно выполнять полидетектором Scan.
Дамп бут-сектора дискеты, зараженной вирусом M-21
000: EB2190504320546F 6F6C730002020100 .!.PC Tools..
010: 027000D002FD0200 0900020000000000 .p..
020: 000000FA33C08ED0 BC00F01E161FA113 .3..
030: 042D0200A31304B1 06D3E08EC033FFBE .-..3..
040: 007CB90002FCF2A4 BFB401BE4C008B04 .|.L...
050: 89058B4402894502 BB95008CC0891C89 ...D..E...
060: 4402FB06B8690050 CB33C08EC00E1FB9 D.i.P.3...
... .. .. .. .. .. .. .. .. . . . . . . . .
140: 5F5E5B07FAA15801 8ED08B265A01FB58 _^[...X.&Z..X
150: 1FCD6DCA02008290 6A02460801030000 ..m..j.F..
160: 2001A06001FEC875 07CD05FEC8A26001 ..`...u...`.
170: C34F532020434F4D 494F202020202020 .OS COMIO
180: 5359534D53444F53 2020205359530A0D SYSMSDOS SYS..
190: 4469736B20426F6F 74204661696C7572 Disk Boot Failur
1A0: 65000A0D4E6F6E2D 53797374656D2064 e...Non-System d
1B0: 69736B206F722064 69736B206572726F isk or disk erro
1C0: 72000A0D5265706C 61636520616E6420 r...Replace and
1D0: 707265737320616E 79206B6579207768 press any key wh
1E0: 656E207265616479 0A0D000000000000 en ready..
1F0: 0000000000000000 00000000000055AA ..U.