Информационные технологииStfw.Ru 🔍

Заключительные замечания

🕛 16.03.2009, 13:24
Темпы появления в СССР новых бутовых вирусов на порядок ниже, чем файловых. Несколько упрощая ситуацию, этот класс вирусов можно отнести к вымирающим, поскольку он постепенно вытесняется появившимися недавно файлово-бутовыми вирусами. За время подготовки рукописи появилось всего два новых бутовых вируса, имеющих неформальные названия Form и Love Child. Оба эти вируса "выкусываются" полифагом Aidstest (версией 100 и более поздними). Приводимые ниже сведения основаны на информации Д.Н.Лозинского.

Вирус Form относится к типу Bх1. Он заражает бут-сектор дискет и винчестера. При заражении винчестера, хвост записывается в последних секторах, а при заражении дискет - в создаваемом псевдосбойном кластере. Фаза проявления наступает 24-го числа каждого месяца. При этом вирус сопровождает писком каждое нажатие на клавишу. Детектируется полидетектором Scan.

Вирус LoveChild относится к типу M. Вырожденный хвост, состоящий из оригинального бут-сектора, размещает как вирус M-05 (Stoned). Подобно своему файловому "родственнику", рассмотренному в гл.5, данный вирус относится к вирусам-вандалам. Фаза проявления состоит в уничтожении содержимого диска С. Тело вируса содержит текстовую строку

"LoveChild b3 in reward for software stealing.".

p.294
8. Ископаемые, мифические и известные только по литературе бутовые вирусы

Касаясь чисто бутовых вирусов, интересно отметить, что если файловые вирусы имеют, в основном, западное происхождение, то бутовые - восточное (Индия, Индонезия, Новая Зеландия, Пакистан, Сингапур, Тайвань, Южная Корея). Учитывая, что из Индии, Сингапура, Тайваня, Южной Кореи мы получаем основную массу персональных компьютеров, эти вирусы имеют определенные шансы на появление в нашей стране.

Некоторые из упоминаемых в зарубежной литературе бутовых вирусов пока в СССР выделены не были. Другие - практически полностью уничтожены и представляют, в основном, исторический интерес. Третьи - скорее всего существуют только на страницах литературы.

Изложение материала данной главы начнем со сравнительно нового типа вирусов - вирусов, способных размножаться как файловые, но при этом заражать бут-сектор и инсталлироваться в оперативной памяти с зараженного бут-сектора (файлово-бутовые вирусы по классификации, приведенной в гл.2). На момент сдачи рукописи в печать вирусы этого типа уже начали попадать в СССР и в дальнейшем следует ожидать, что эта группа будет представлена несколькими выявленными в СССР разновидностями. К сожалению, подробного описания этих вирусов автор подготовить не успел, и ниже приводятся лишь фрагментарные сведения.

Файлово-бутовые вирусы, известные по литературе

Данный тип вирусов является попыткой увеличить выживаемость вирусов при наличии средств входного контроля. Действительно, поскольку бутовый вирус запускается до MS DOS, то он может беспрепятственно стать резидентным, а затем уже пытаться обходить средства слежения за операциями ввода-вывода. В то же время размножение по типу файлового вируса создает значительно лучшие шансы проникновения на новые компьютеры. Для удаления бутовой части данного типа вирусов можно использовать команду SYS.

Вирус C-2351 (Ghostballs - Мячик призрака)

Данный вирус является комбинацией нерезидентного файлового вируса С-648.VEN (Vienna) и фрагментов бутового вируса Bx1-1C (Пинг-понг), обеспечивающих зарактерный для последнего визуальный эффект. При запуске зараженной программы заражает бут-сектор дискеты или винчестера бутовой частью, основанной на вирусе Bx1-1C, в которой сохранен визуальный эффект движущегося светлого пятна, однако отсутствует способность к размножению. При этом, если бут-сектор восстановлен каким-нибудь фагом, то он повторно заражается при первом же запуске зараженной программы.

Формально данный вирус можно рассматривать как файловый вирус, имеющий троянскую компоненту, записываемую в бут-сектор (подобно рассмотренному в гл.5 вирусу RCE-04096.FRD (Frodo)). Однако происхождение троянской компоненты таково, что она может быть легко доработана до бутового вируса. Этот факт позволяет рассматривать данный вирус в качестве первой, хотя и неполной, попытки реализации вируса рассматриваемого типа.

Исторические сведения. Вирус был обнаружен в октябре 1989 г. в Исландии известным исландским вирусологом Фридрихом Скуласоном (Fridrik Skulason).

Неформальные названия. Помимо приведенного в заголовке, используются названия Ghost Boot и Ghost COM.

Методы и средства защиты. Вирус легко обнаруживается по визуальному эффекту. Детектируется политетектором Scan (версии, начиная с 66).

Вирус МC-1253 (AntiCad, V-1)

Данный вирус заражает как COM-файлы, так и бут-сектор дискет и MBR винчестера. При выполнении зараженной программы вирус инсталлируется в младшие адреса свободной памяти и виден как дополнительная резидентная программа, занимающая 2128 байтов (общий размер системной памяти не изменяется) и перехватывающая прерывания 08h, 13h, 21h, 60h. Затем вирус заражает MBR винчестера или бут-сектор дискеты в зависимости от конфигурации компьютера.

Являясь резидентным, вирус заражает каждый выполняемый COM-файл, дописываясь в конец файла и вставляя в начало файла команду перехода. Размер зараженных файлов увеличивается на 1253 байта. При этом вирус не делает попытки скрыть это увеличение. Зараженные файлы содержат строку "V-1" (562D31), расположенную с четвертого байта, сразу после команды перехода.

Если при резидентном вирусе выполняется доступ к дискете, то бут-сектор заражается вирусом. В частности, отформатированные на зараженном компьютере дискеты уже заражены. Куда вирус прячет хвост, в настоящее время не известно.

При попытке загрузки с зараженной дискеты вирус инсталлируется по типу бутового вируса, уменьшая системную память на 7840 байтов.

Фаза проявления заключается в уничтожении содержимого дискеты или винчестера и наступает, по данным П.Хоффман, 24 декабря. Уничтоженная дискета имеет повторяющуюся структуру из девяти секторов.

Исторические сведения. Вирус обнаружен в августе 1990 г. в Австрии и, по-видимому, написан там же.

Неформальные названия. Помимо приведенных выше, отсутствуют.

Методы и средства защиты. Характерным проявлением данного вируса являются неожиданные попытки доступа к неактивным дисководам гибких дисков при форматировании. Например, если форматируется дискета в дисководе А, то зажигается лампочка в дисководе B. Детектируется полидетектором Scan (начиная с версии 66).

Вирус МCE-1040 (Anthrax - Карбункул)

Неформальное название данного вируса связано с тем, что в теле вируса имеются текстовые строки "(c)Damage, Inc." и "ANTHRAX". Формально данный вирус относится к файлово-бутовым резидентным вирусам. Заражает как COM-, так и EXE-файлы, включая COMMAND.COM. Помимо этого, заражает MBR винчестера и бут-сектор дискет.

При заражении файлов их длина увеличивается на 1040 - 1232 байта. При выполнении зараженной программы вирус инсталлируется в оперативной памяти, однако в отличие от большинства известных вирусов не начинает заражать файлы немедленно. Только после того, как наступает некоторое событие, по-видимому связанное с количеством введенных с клавиатуры символов, он начинает заражать по одному файлу при каждом выполнении какой-нибудь программы. При этом заражается не сама выполняемая программа, а другой файл, выбираемый вирусом для заражения сначала на диске С, начиная с корневого каталога, и далее по всему дереву каталогов, затем на диске D и т.д.

Детали заражения дискет и бут-сектора неясны.

Проявления вируса в настоящий момент неизвестны.

Исторические сведения. Вирус был выделен в Нидерландах в июле 1990 г. Он был загружен в несколько BBS с троянской копией антивирусной программы USCAN.ZIP. Это третий в 1990 г. вирус, распространявшийся с троянской копией антивирусной программы. Первыми двумя были RCE-2100 (также распространялся с UScan) и RCE-1600 (распространялся с Aidstest). По-видимому, вирус имеет восточноевропейское (болгарское?) происхождение.

Неформальные названия. Помимо приведенных выше, отсутствуют.

Методы и средства защиты. Детектируется полидетектором Scan (версии, начиная с 66).

Вирус MCE-2343 (Flip - Щелчок)

Помимо COM- и EXE-файлов, вирус заражает MBR первого винчестера. При этом от первого логического диска указанного винчестера "откусывается" 6 секторов. Вирус заражает командный процессор. Фаза проявления связана с видео-эффектом, ориентированным на дисплеи типа EGA: изображения букв и текста на экране переворачиваются. По данным Д.Н.Лозинского, вирус выполняет модификацию программных файлов, вставляя в начало определенной последовательности команд вызов прерывания 9Fh.

Вирус написан квалифицированным программистом и к моменту публикации разобраться в его коде автор не успел.

Исторические сведения. Вирус был выделен в СССР в начале 1991 г.

Методы и средства защиты. Детектируется Scan (версии 77 и последующие). В качестве фага можно использовать Aidstest (версию 100 и последующие).

Вирус BCE-4096 (Invader - Захватчик)

Как и многие другие вирусы, данный вирус основан на распространенном файловом вирусе RCE-1813.IER. Подобно прототипу, вирус различает тип файла по расширению. При заражении сегментированных программ может записываться в середину, затирая один из сегментов.

Вирус заражает как COM-, так и EXE-файлы, так и бут-сектор дискет и винчестера. Не заражает COMMAND.COM.

Вирус имеет несколько проявлений. Из прототипа сохранено замедление работы компьютера. Иногда каждые полчаса играет вальс Штрауса "На прекрасном голубом Дунае". В других случаях после нажатия на клавиши Ctrl+Alt+Del затирает доступные диски и CMOS (энергонезависимая память компьютеров типа AT, в которой записываются данные о конфигурации, включая тип используемого винчестера и объем установленной оперативной памяти).

По данным Д.Н.Лозинского, уровень программирования невысок.

Исторические сведения. Вирус был выделен в Хабаровске в начале 1991 г. Автору передан Д.Н.Лозинским. Приводимые сведения основаны на документации к Aidstest.

Методы и средства защиты. Детектируется полидетектором Scan (версии 66 и последующие). В качестве фага можно использовать Aidstest (версию 100 и последующие).


Ископаемые бутовые вирусы

Ряд бутовых вирусов в настоящее время можно считать полностью уничтоженными. Ниже приводятся сведения о некоторых из таких вирусов.

Вирус Alameda - Аламеда

Вирус Alameda, подобно вирусу M-05.STN (Stoned), имеет вырожденный хвост, который размещается на последнем треке дискеты по адресу 39/8/0. При этом кластер не отмечается как сбойный, оставаясь доступным для распределения. В результате перезапись содержимого этого кластера ведет к зависанию системы при перезагрузке. После загрузки вирус уменьшает доступную память на 1К.

Отличительной особенностью данного вируса является то, что он перехватывает прерывание от клавиатуры, что позволяет этому вирусу "переживать" теплую перезагрузку (с помощью Ctrl-Alt-Del). Более того, данный вирус размножается не путем заражения всех дискет, к которым идет обращение, а только дискет, которые расположены в дисководе в момент нажатия Ctrl-Alt-Del. Заражаются только пятидюймовые дискеты 360К.

Оригинальная версия вируса не содержала кода, ориентированного на нанесение какого-либо ущерба, однако, как любой вирус, вызывала ряд побочных эффектов. В частности, на некоторых машинах, зараженных этим вирусом, зависают отдельные программы или драйверы. В настоящее время известны штаммы, разрушающие бут-сектор дискет (штамм Alameda-C). Кроме того, оригинальная версия работоспособна только на PC XT, поскольку содержит команды, отсутствующие в микропроцессорах 80286 и 80386. Более поздние версии размножаются и на PC AT.

Исторические сведения. Один из первых бутовых вирусов и первый вирус, способный "выживать" при "теплой" перезагрузке. Впервые обнаружен в США в 1988 г. в Merritt College, Oakland, California. По мнению сотрудников университета, вирус написан студентом из колледжа Peralta community college, входящим в данный округ. В СССР отмечен лишь один случай заражения.

Неформальные названия. Помимо приведенного выше, используются названия Merritt, Peking, Seoul, Yale.

Методы и средства защиты. Данный вирус диагностируется полидетектором Scan.
8.2.2. Вирус Ohio - Огайо

Заражает только 360К пятидюймовые дискеты. По-видимому, данный вирус можно рассматривать как раннюю версию вируса Den Zuk. Дискета, зараженная вирусом Ohio, иммунизирована к заражению вирусом Brain. В теле вируса имеются строки:
"V I R U S b y The Hackers Y C 1 E R P D E N Z U K 0 Bandung 40254 Indonesia (C) 1988, The Hackers Team."

Исторические сведения. Вирус обнаружен в июне 1988 г. в Индонезии и, по-видимому, разработан там же.

Методы и средства защиты. Детектируется Scan (версии 66+).

Вирус Chaos - Хаос

Неформальное название данного вируса связано с тем, что в теле вируса имеются текстовые строки "Welcome to the New Dungeon", "Chaos" и "Letz be cool guys". Формально данный вирус является бутовым вирусом, заражающим как дискеты, так и винчестер. Отличительной особенностью вируса является то, что при заражении он перезаписывает оригинальный бут-сектор, не копируя его в новое место. Стадия проявления заключается в пометке всех свободных кластеров как сбойные. Условия наступления стадии проявления неизвестны.

Исторические сведения. Обнаружен в декабре 1989 г. в Англии Джеймсом Беррри (James Berry). В СССР не отмечался. Приводимые данные базируются на списке П.Хоффман.

Неформальные названия. Помимо приведенного выше, неизвестны.

Методы и средства защиты. Данный вирус диагностируется полидетектором Scan.
8.3. Мифические бутовые вирусы; Вирус Bxxx (Boot Killer - Бут-киллер)

Данный вирус при каждой активизации переводит часть имеющихся свободных кластеров в потерянные и тем самым уменьшает размер доступного дискового пространства. Это пространство, естественно, становится недоступным, если не использовать утилиту CHKDSK с последующим удалением всех файлов с расширением CHK. Вторым эффектом является форматизация первого трека диска.

Исторические сведения. Вирус был описан в статье [Solomon88].
p.302

Вирусы   Теги:

Читать IT-новости в Telegram
Информационные технологии
Мы в соцсетях ✉