Пакистанская группа
🕛 16.03.2009, 13:21
Представители пакистанской группы вирусов отличаются тем, что они не заражают винчестер, заражая только дискеты. Первым представителем этой группы является вирус Dx3-E9. Известные представители группы имеют в бутовом секторе фразу "Welcome to the Dungeon" - "Добро пожаловать в долговую тюрьму", связанную с мотивами авторов вирусов, освещенными в гл.1.Вирус Dx3-E9-s (Singapore Brain - Сингапурский вариант Душманских мозгов)
Вирус Dx3-E9 во многом аналогичен вирусу Bx1-1C, однако, в отличие от Bx1-1C, он никогда не инфицирует винчестер. При заражении дискеты ее имя меняется на (С)Brain, чем и определяется неформальное название вируса. Рассматриваемый штамм появился несколько позднее оригинальной версии и имеет, по-видимому, сингапурское происхождение.
На дискетах хвост вируса расположен в трех кластерах (шести секторах), помеченных как сбойные. На зараженной ЭВМ вирус уменьшает объем доступной памяти на 7К.
В отличие от Bx1-1C, на инфицированной MS DOS (с вирусом, находящимся в старших адресах памяти) невозможно прочитать инфицированный бут-сектор. В случае, когда делается такая попытка, Dx3-E9 перенаправляет запрос на чтение в оригинальный бут-сектор, хранящийся в одном из сбойных кластеров. Поэтому непременным условием анализа является предварительная загрузка MS DOS с незараженной дискеты, защищенной от записи.
Процесс загрузки в память для данного вируса полностью аналогичен вирусу Bx1-1C.
После того, как вирус стал резидентным, он активируется при возникновении прерывания по чтению. Получив управление по этому прерыванию, он анализирует, относится оно к дискете или к винчестеру. Если это прерывание относится к дискете, то сначала вирус проверяет, заражена уже данная дискета или нет. Для этой цели считывается бут-сектор и проверяются его четвертый и пятый байты (в зараженной дискете там находится подпись "1234", которая при просмотре дампа имеет вид 3412). Если подпись отсутствует, то вирус заражает дискету, а затем обрабатывает команду READ. В случае, если дискета уже заражена, вирус обрабатывает команду READ; так же он поступает в случае, если дискета защищена от записи.
Основное отличие в функционировании заключается в том, что при заражении дискеты вирус ищет не один, а три последовательных свободных кластера. Если их нет, то заражения не происходит. Однако, если есть лишь один свободный кластер, который не относится к двум последним кластерам дискеты, то вирус использует его, затирая два соседних кластера и отмечая все три как сбойные. Очевидно, что соответствующий файл(ы) повреждается, и диск будет копироваться с ошибками.
Фаза проявления состоит в переименовании заражаемых дискет.
Так же, как и Bx1-1C, вирус Dx3-E9 может загружаться с несистемной дискеты. При этом после загрузки вирус выдает сообщение:
Please Insert a Bootable disk Then Type [Return]
Хотя размер вируса достигает 3К, менее половины кода вируса действительно выполняется. Часть кода, похоже, не получает управления ни при каких обстоятельствах и, возможно, вставлена для затруднения дизассемблирования и анализа.
Вирус заражает только 40-дорожечные двухсторонние 9-ти секторные дискеты (360K).
Исторические сведения. Оригинальная версия вируса Dx3-E9 является первым бутовым вирусом для MS DOS, получившим массовое распространение, и была выявлена в США в октябре 1987 г., где она вызвала настоящую эпидемию. Название Brain связано с тем, что он присваивает имя Brain любой зараженной дискете. Это один из немногих вирусов, для которых установлены авторы: Basit Farood Alvi (19 лет) и Bruder Amgad (23 года) из Лахора (Пакистан). Поэтому иногда этот вирус называют "Душманские мозги". П.Хоффман отмечает наличие ряда штаммов:
1. Brain-B/Hard Disk Brain/Houston Virus - штамм, заражающий винчестер; 2. Brain-C - доработанный штамм Brain-B, в котором метка "(c)Brain" удалена; 3. Clone Virus - доработанный штамм Brain-C, в котором опять восстановлена оригинальная метка; 4. Clone-B - наиболее опасный штамм - версия Clone Virus, модифицированная так, что она уничтожает FAT винчестера после 5.05.92.
Рассматриваемый сингапурский штамм Dx3-E9 был первым штаммом Brain, обнаруженным в СССР. Его выделил А.В.Сесса в Днепропетровске в начале сентября 1989 г. на "дистрибутивных" дискетах с пакетами Dr. Halo III и GeniScan Edit, входивших в поставочный пакет сканера фирмы Genius. По данным А.В.Сессы, вирус попал в Днепропетровск вместе с компьютерами, привезенными из Тайваня на компьютерную ярмарку.
Первым детектором для данного вируса был полидетектор Scan, а первым фагом - программа NoBrain. Как детектор, так и фаг были известны в СССР до появления самого вируса (распространялись через бюллетень Софтпанорама в сентябре-октябре 1989 г.).
Неформальные названия. Помимо приведенного в заголовке, используется название Brain-88 - Душманские мозги-88.
Методы и средства защиты. Рекомендуемые полифаги приведены в прил.2. Как уже указывалось, вирус нельзя идентифицировать путем визуального просмотра содержимого бут-сектора, например, с помощью PCTools, на зараженной машине; его можно определить, только загрузившись с системной защищенной дискеты. Вакцинирование дискет от данного вируса удобно выполнять с помощью бутовой вакцины VitaminB, которая полностью предотвращает возможность заражения компьютера данным вирусом при нечаянной загрузке с дискеты.
Бут-сектор, зараженный вирусом Brain
000: FAE94A0134120102 0600010020202000 ..J.4. .
010: 2020202020205765 6C636F6D6520746F Welcome to
020: 207468652044756E 67656F6E20202020 the Dungeon
030: 2020202020202020 2020202020202020
040: 2020202020202020 2020202020202020
050: 2028432920313938 3820426173697420 (C) 1988 Basit
060: 2620416D6A616420 2870767429204C74 & Amjad (pvt) Lt
070: 642E202020202020 2020202020202020 d.
080: 20425241494E2043 4F4D505554455220 BRAIN COMPUTER
090: 5345525649434553 2E2E373330204E49 SERVICES..730 NI
0A0: 5A414D20424C4F43 4B20414C4C414D41 ZAM BLOCK ALLAMA
0B0: 20495142414C2054 4F574E2020202020 IQBAL TOWN
0C0: 2020202020202020 20204C61686F7265 Lahore
0D0: 2C50616B69737461 6E2E2050683A2034 ,Pakistan. Ph: 4
0E0: 33303739312C2034 34333234382E2056 30791, 443248. V
0F0: 6572202853696E67 61706F7265292020 er (Singapore)
100: 426577617265206F 6620746869732022 Beware of this "
110: 7669727573222E20 49742077696C6C20 virus". It will
120: 7472616E73666572 20746F206D696C6C transfer to mill
130: 696F6E206F662044 69736B6574746573 ion of Diskettes
140: 2E2E2E2E20242340 2524402121208CC8 . $#@%$@!! ..
... .. .. .. .. .. .. .. .. . . . . . . . .
Фрагменты дампа хвоста вируса Brain, расположенного в псевдосбойных кластерах
+- начало оригинального бут-сектора |
000: EB349049424D4D53 332E330002020100 .4.IBMMS3.3..
010: 027000D002FD0200 0900020000000000 .p..
020: 0000000000000000 0000000000000012 .
030: 000000000100FA33 C08ED0BC007C1607 .3..|..
... .. .. .. .. .. .. .. .. . . . . . . . .
1C0: 0D0A4469736B2042 6F6F74206661696C ..Disk Boot fail
1D0: 7572650D0A004942 4D42494F2020434F ure...IBMBIO CO
1E0: 4D49424D444F5320 20434F4D00000000 MIBMDOS COM.
1F0: 0000000000000000 00000000000055AA ..U.
... .. .. .. .. .. .. .. .. . . . . . . . .
00: EB26202843292031 3938382042617369 .& (C) 1988 Basi
210: 74202620416D6A61 6420287076742920 t & Amjad (pvt)
220: 4C74642E00040100 2EC60625021F33C0 Ltd..%..3.
... .. .. .. .. .. .. .. .. . . . . . . . .
340: 0000000000000000 0000000000000000 .
350: EB25900300202843 2920313938382042 .%... (C) 1988 B
360: 6173697420262041 6D6A616420287076 asit & Amjad (pv
370: 7429204C746420E8 AD00A1BE063DFDFF t) Ltd ...=..
... .. .. .. .. .. .. .. .. . . . . . . . .
4A0: 9F8D989F8EE02028 432920427261696E ... (C) Brain
4B0: 2024E8DB00720A57 E81F005F7203E8D7 $...r.W..._r...
4C0: 00C3BB9B04B90B00 8A07F6D888044643 ..FC +- еще одна копия | оригинального | бут-сектора
6B0: 09C606090000FE06 0B00C3647461EB34 ..dta.4
6C0: 9049424D4D53332E 3300020201000270 .IBMMS3.3...p
... .. .. .. .. .. .. .. .. . . . . . . . .
8A0: 424D444F53202043 4F4D000000000000 BMDOS COM...
8B0: 0000000000000000 0000000055AA0000 ...U...
8C0: 0000000000000000 0000000000000000 .
*** последующие строки идентичны предыдущей ***
AB0: 0000000000000000 000000000000FDFF .
AC0: FF03400005600007 800009A0000BC000 ..@..`.
AD0: 0DE0000F00011120 0113400115600117 . ..@..`..
AE0: 800119A0011BC001 1DE0011F00022120 ..!
AF0: 0223400225600227 800229A0022BC002 .#@.%`.'..)..+..
B00: 2DE0022F00033120 0333F0FF00000000 -../..1 .3...
B10: 70FFF77FFF000000 0000000000000000 p...
B20: 0000000000000000 0000000000000000 .
*** последующие строки идентичны предыдущей ***
BF0: 0000000000000000 0000000000000000 .
Вирус Dx3-E9-b (Оригинальная версия Brain; Brain-86 - Душманские мозги-86)
Оригинальная версия Brain в СССР, по-видимому, не отмечалась. Приводимый ниже фрагмент бут-сектора воспроизводится по статье [Highland88h].
Исторические сведения. Данный вирус является одним из первых компьютерных вирусов, созданных для IBM-совместимых PC и первым компьютерным вирусом, вызвавшим эпидемию.
Неформальные названия. Помимо приведенных выше, используется название Pakistani virus - Пакистанский вирус.
Методы и средства защиты. Рекомендуется использовать любой полифаг, пригодный для описанных выше версий.
Голова вируса Brain (видна только на незараженной вирусом машине)
000: FAE94A0134120102 2700010000000020 ╨щJ.4...' .
010: 2020202020205765 6C636F6D6520746F Welcome to
020: 207468652044756E 67656F6E20202020 the Dungeon
030: 2020202020202020 2020202020202020
040: 2020202020202020 2020202020202020
050: 2028632920313938 3620426173697420 (c) 1986 Basit
060: 2620416D6A616420 2870767429204C74 & Amjad (pvt) Lt
070: 642E202020202020 2020202020202020 d.
080: 20425241494E2043 4F4D505554455220 BRAIN COMPUTER
090: 5345525649434553 2E2E373330204E49 SERVICES..730 NI
0A0: 5A414D20424C4F43 4B20414C4C414D41 ZAM BLOCK ALLAMA
0B0: 20495142414C2054 4F574E2020202020 IQBAL TOWN
0C0: 2020202020202020 2020204C41484F52 LAHOR
0D0: 452D50414B495354 414E2E2E50484F4E E-PAKISTAN..PHON
0F0: 45203A3433303739 312C343433323438 E :430791,443248
100: 2C3238303533302E 2020202020202020 ,280530.
110: 2020426577617265 206F662074686973 Beware of this
120: 2056495255532E2E 2E2E2E436F6E7461 VIRUS..Conta
130: 637420757320666F 722076616363696E ct us for vaccin
... .. .. .. .. .. .. .. .. . . . . . . . .
Штамм Dx3-E9-a (Ashar - Ашар)
Данный штамм отличается от предыдущего тем, что, по данным П.Хоффман, помимо дискет, он заражает и винчестер. Содержит модифицированное по отношению к предыдущему вирусу текстовое сообщение "VIRUS_SHOE RECORD, v9.0. Dedicated to the dynamic memories of millions of virus who are no longer with us today". Последнее, как и в предыдущем случае, не видно при просмотре бут-сектора на зараженной машине. Используемое неформальное название связано с строкой "(c)ashar", которая обычно содержится в теле вируса со смещением 04A6h.
Исторические сведения. Данный штамм описан П.Хоффман в версии от 10.08.90. Широко распространен в США. Имеется версия 9.1, которая в отличие от рассматриваемой версии 9.0 не заражает винчестер. В СССР выделен Д.H.Лозинским в начале 1990 г.
Неформальные названия. Помимо приведенного в заголовке, используются названия Shoe_Virus, UIUC Virus.
Методы и средства защиты. См. предыдущий штамм.
Фрагменты дампа штамма Ashar
000: FAE94A0134120009 1700010000000000 ..J.4..
010: 57656C636F6D6520 746F207468652020 Welcome to the
020: 44756E67656F6E20 2020202020202020 Dungeon
030: 2863292031393836 20427261696E1726 (c) 1986 Brain.&
040: 20416D6A61647320 2870767429204C74 Amjads (pvt) Lt
050: 6420202056495255 535F53484F452020 d VIRUS_SHOE
060: 5245434F52442020 2076392E30202020 RECORD v9.0
070: 4465646963617465 6420746F20746865 Dedicated to the
080: 2064796E616D6963 206D656D6F726965 dynamic memorie
090: 73206F66206D696C 6C696F6E73206F66 s of millions of
0A0: 2076697275732077 686F20617265206E virus who are n
0B0: 6F206C6F6E676572 2077697468207573 o longer with us
0C0: 20746F646179202D 205468616E6B7320 today - Thanks
0D0: 474F4F444E455353 2121202020202020 GOODNESS!!
0E0: 2042455741524520 4F46205448452065 BEWARE OF THE e
0F0: 722E2E5649525553 20203A205C746869 r..VIRUS : \thi
100: 732070726F677261 6D20697320636174 s program is cat
110: 6368696E67202020 20202070726F6772 ching progr
120: 616D20666F6C6C6F 7773206166746572 am follows after
130: 207468657365206D 657373656765732E these messeges.
140: 2E2E2E2E20242340 2524402121208CC8 . $#@%$@!! ..
150: 8ED88ED0BC00F0FB A0067CA2097C8B0E .|..|..
160: 077C890E0A7CE857 00B90500BB007EE8 .|...|.W...~.
170: 2A00E84B0081C300 02E2F4A113042D07 *..K.-.
180: 00A31304B106D3E0 8EC0BE007CBF0000 ...|...
190: B90410FCF3A406B8 000250CB5153B904 .P.QS..
... .. .. .. .. .. .. .. .. . . . . . . . .
Фрагменты дампа хвоста вируса, расположенного в псевдосбойных кластерах
200: EB26286329203139 383620427261696E .&(c) 1986 Brain
210: 202620416D6A6164 7320287076742920 & Amjads (pvt)
220: 4C74642000040000 2EC60625021F33C0 Ltd .%..3.
230: 8ED8A14C00A3B401 A14E00A3B601B876 ...L..N..v
240: 02A34C008CC8A34E 00B9040033C08EC0 ..L.N.3...
... .. .. .. .. .. .. .. .. . . . . . . . .
340: 0000000000000000 0000000000000000 .
350: EB25900300202863 2920313938362042 .%... (c) 1986 B
360: 7261696E20262041 6D6A616473202870 rain & Amjads (p
370: 767429204C7464E8 AD00A1BE063DFDFF vt) Ltd...=..
... .. .. .. .. .. .. .. .. . . . . . . . .
490: 0363000303BE0E01 000101E0D89DD7E0 .c..
4A0: 9F8D989F8EE02028 6329206173686172 ... (c) ashar
4B0: 2024E8DB00720A57 E81F005F7203E8D7 $...r.W..._r...
4C0: 00C3BB9B04B90B00 8A07F6D888044643 ..FC
... .. .. .. .. .. .. .. .. . . . . . . . . +- начало | оригинального | бут-сектора
6B0: 09C606090000FE06 0B00C3647461EB34 ..dta.4
6C0: 9049424D2020332E 3300020201000270 .IBM 3.3...p
... .. .. .. .. .. .. .. .. . . . . . . . .
8B0: 0000000000000000 0000000055AA0000 ...U...
... .. .. .. .. .. .. .. .. . . . . . . . .