Вирус Mx3-36 (Peter - Питер, Pseudo Cascade - Псевдо-буквопад)
🕛 16.03.2009, 13:22
Данный вирус представляет интерес как первый вирус, имеющий "дезинформирующее" проявление: осыпание букв, полностью заимствованное из вируса RC-1701.CAS.Формально данный вирус относится к бутовым вирусам типа Mx3: он заражает как дискеты, так и винчестер, а его хвост расположен в трех кластерах, помеченных как сбойные, причем как на дискетах, так и на винчестере. На винчестере голова вируса располагается в MBR.
Фаза проявления наступает только на компьютерах типа PC AT через месяц после заражения.
Исторические сведения. Обнаружен в Ленинграде в январе 1990 г. Автору передан Д.Н.Лозинским. Приводимые сведения основаны на документации к Aidstest.
Неформальные названия. В документации к полифагу Aidstest данный вирус назван Peter. Hазвание Pseudo Cascade (Псевдо-буквопад) предложено автором.
Методы и средства защиты. Вирус можно идентифицировать путем визуального просмотра содержимого бут-сектора, например, с помощью Norton Utilities. Полидетектор Scan (версии до 77, включительно) его не опознают. Вместо фага можно использовать команду SYS.
Фрагменты дампа бут-сектора дискеты, зараженной вирусом Mx3-34
000: EB3690504320546F 6F6C730002020100 .6.PC Tools..
010: 027000D002FD0200 090002000000000C .p..
020: 000100006C2100C8 0000000007000002 .l!.
030: 0600020003000400 EA3D00C00733C08E ...=...3..
040: D88ED0BC007C2E88 161E00FAA14C008B ..|.L..
050: 1E4E002EA324002E 891E2600FBA11304 .N...$.&..
060: 2D0500B106D3E08E C02EA37C00B90002 -.|.
... .. .. .. .. .. .. .. .. . . . . . . . .
100: 9303061C0033D2F7 361800FEC28AEA33 ..3..6...3
110: D2F7361A00B106D2 E40AE58BC886E98A ..6.
120: F28BC38A161E008B DF8BE8B80400508B ..P.
130: C59C2EFF1E240058 730E5033C09C2EFF ..$.Xs.P3.
140: 1E2400584875E7F9 C38BC32D020033DB .$.XHu..-..3.
150: 8A1E0D00F7E30306 1F008BD8C30D0A4E ...N
160: 6F6E2D5379737465 6D206469736B206F on-System disk o
170: 72206469736B2065 72726F720D0A5265 r disk error..Re
180: 706C61636520616E 6420737472696B65 place and strike
190: 20616E79206B6579 207768656E207265 any key when re
1A0: 6164790D0A000000 0000000000000000 ady.
1B0: 0000000000000000 0000000000000000 .
*** последующие строки идентичны предыдущим ***
1F0: 0000000000000000 0000000000000000 .
Фрагменты дампа псевдосбойных кластеров с телом вируса Mx3-34
000: 33C08ED8812E1304 05008CC88EC08ED8 3...
010: C7068C0200008A16 1E0052C6061E0080 .R..
020: E8F5035A88161E00 E8B000E89101B8DC ...Z...
030: 05E87C00402EA38A 022EA3AC022EC706 ..|.@..
040: AE02010033C08ED8 FAC7064C0092058C .3...L.
050: 0E4E00FBB404CD1A 722D2E3B0E2C0077 .N...r-.;.,.w
060: 0A2E3B162E007303 EB1D90FAA170008B ..;...s...p..
070: 1E72002EA328002E 891E2A00C7067000 .r...(.*...p.
080: 1A058C0E7200FBE9 5DFE820008000516 .r...].
090: F101000000000001 8001941429280000 ...)(..
0A0: 0000000000000000 3D02000082000100 ..=.
0B0: 1E0E1F53515250B9 0700BB9C02FF378B ...SQRP.7.
0C0: 47FE11074B4BE2F7 5811078B17580BC0 G...KK..X.X..
0D0: 7402F7E28BC25A59 5B1FC31E06565751 t..ZY[.VWQ
0E0: 0E07B940008ED9BF 8E02BE6C00B90800 ...@.l.
0F0: FCF3A5595F5E071F C3561E528AC6F626 ...Y_^...V.R...&
100: 9E02B60003C2D1E0 0306A6028BF0F706 .
... .. .. .. .. .. .. .. .. . . . . . . . .
600: BA2201412E890E2C 002E89162E00B801 .".A...,..
610: 0333D28A161E00B9 0100BB0000E809F9 .3..
620: C32028632920436F 7079726967687420 . (c) Copyright
630: 3139393020204B65 7964726F7020696E 1990 Keydrop in
640: 632E20EB29905043 20546F6F6C730002 c. .).PC Tools..
650: 020100027000D002 FD02000900020000 .p..
660: 0000000000000000 000000000000FA33 ...3
670: C08ED0BC007C161F BE007DAC0AC07409 ..|.}...t.
680: B40EBB0700CD10EB F232E4CD16CD1900 ...2...
690: 0000000000000000 0000000000000000 .
*** последующие строки идентичны предыдущим ***
740: 0000000A0D4E6F6E 2D53797374656D20 ..Non-System
750: 6469736B2E2E2E0A 0D5265706C616365 disk..Replace
760: 20616E6420707265 737320616E79206B and press any k
770: 6579207768656E20 72656164790A0D00 ey when ready...
780: 0000000000000000 0000000000000000 .
*** последующие строки идентичны предыдущим ***
800: EB2990504320546F 6F6C730002020100 .).PC Tools..
810: 027000D002FD0200 0900020000000000 .p..
820: 0000000000000000 000000FA33C08ED0 ...3...
830: BC007C161FBE007D AC0AC07409B40EBB ..|.}...t.
840: 0700CD10EBF232E4 CD16CD1900000000 ...2...
850: 0000000000000000 0000000000000000 .
*** последующие строки идентичны предыдущим ***
900: 0A0D4E6F6E2D5379 7374656D20646973 ..Non-System dis
910: 6B2E2E2E0A0D5265 706C61636520616E k..Replace an
920: 6420707265737320 616E79206B657920 d press any key
930: 7768656E20726561 64790A0D00000000 when ready...
940: 0000000000000000 0000000000000000 .